Riscontro del traffico in entrata nei log di flusso VPC per il mio gateway NAT pubblico. Il mio gateway NAT pubblico accetta il traffico in entrata da Internet?

5 minuti di lettura

I log di flusso del mio cloud privato virtuale (VPC) mostrano Action = ACCEPT per il traffico in entrata proveniente da indirizzi IP pubblici. Tuttavia, credevo che i gateway Network Address Translation (NAT) non accettassero il traffico da Internet. Il mio gateway NAT accetta il traffico in entrata da Internet?

Risoluzione

I gateway NAT gestiti da AWS non accettano il traffico avviato da Internet. Tuttavia, ci sono due motivi per cui le informazioni nei log di flusso VPC potrebbero indicare che il traffico in entrata da Internet viene accettato.

Motivo 1: Il traffico in entrata proveniente da Internet è consentito dal tuo gruppo di sicurezza o dalle liste di controllo degli accessi (ACL) alla rete

I log di flusso VPC mostrano che il traffico in entrata proveniente da Internet è accettato se il traffico è consentito dal gruppo di sicurezza o dagli ACL di rete. Se gli ACL di rete collegati a un gateway NAT non rifiutano esplicitamente il traffico proveniente da Internet, il traffico verso il gateway NAT appare accettato. Tuttavia, il traffico non viene effettivamente accettato dal gateway NAT ma viene eliminato.

Per verificare questo, procedi come segue:

Apri la console Amazon CloudWatch.
Nel riquadro di navigazione, scegli Informazioni dettagliate.
Dal menu a discesa, seleziona il gruppo di log che contiene l'interfaccia di rete elastica del gateway NAT e l'interfaccia di rete elastica dell'istanza privata.
Esegui la query riportata di seguito.

filter (dstAddr like 'xxx.xxx' and srcAddr like 'public IP')
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| limit 10

Nota: per analizzare tutte le interfacce di rete nel VPC, puoi utilizzare solo i primi due ottetti nel filtro di ricerca. Nell'esempio precedente, sostituisci xxx.xxx con i primi due ottetti del tuo routing interdominio senza classi VPC (CIDR). Inoltre, sostituisci l'IP pubblico con l'IP pubblico che visualizzi nella voce del log di flusso VPC.

I risultati della query mostrano il traffico sull'IP privato del gateway NAT proveniente dall'IP pubblico, ma non il traffico su altri IP privati nel VPC. Questi risultati confermano che il traffico in entrata era indesiderato. Tuttavia, se riscontri traffico sull'IP dell'istanza privata, segui i passaggi indicati nella sezione Motivo 2.

Motivo 2: Il traffico verso l'IP pubblico è stato avviato da un'istanza privata

Se ci sono istanze private che utilizzano il gateway NAT per l'accesso a Internet, il log di flusso VPC include il traffico di risposta dall'indirizzo IP pubblico. Per confermare che il traffico verso l'IP pubblico è stato avviato dalla tua istanza privata, esegui la seguente query:

Nota: prima di eseguire la query, esegui le seguenti operazioni:

Seleziona l'intervallo di tempo che corrisponde a quello in cui hai osservato il traffico nei log di flusso VPC.
Se hai più gruppi di log nel tuo VPC, seleziona quello appropriato.

filter (dstAddr like 'public IP' and srcAddr like 'xxx.xxx') or (srcAddr like 'public IP' and dstAddr like 'xxx.xxx')
| limit 10

Assicurati di sostituire xxx.xxx con i primi due ottetti del tuo VPC CIDR. Sostituisci l'IP pubblico con l'IP pubblico che visualizzi nella voce del log di flusso VPC. Aumenta il limite se più di 10 risorse del tuo VPC hanno avviato traffico verso l'IP pubblico.

I risultati della query mostrano il traffico bidirezionale tra l'istanza privata e gli indirizzi IP pubblici. Per determinare se l’iniziatore è l'istanza privata o l'indirizzo IP pubblico esterno, fai riferimento all'esempio seguente:

2022-09-28T12:05:18.000+10:00 eni-023466675b6xxxxxx 10.0.101.222 8.8.8.8 53218 53 6(17) 4 221 1664330718 1664330746 ACCEPT OK
2022-09-28T12:05:18.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.101.222 53 53218 6(17) 4 216 1664330718 1664330746 ACCEPT OK

In questo esempio di traffico TCP/UDP (ID protocollo = 6 o 17), l'iniziatore è l'indirizzo IP privato 10.0.101.222 con la porta origine 53218 (porta effimera). L'indirizzo IP 8.8.8.8 con porta di destinazione 53 funge da ricevitore e risponditore. Nota: è consigliabile attivare il campo Flag TCP per il log di flusso VPC.

Ad esempio, le seguenti voci hanno un campo Flag TCP nell'ultima colonna:

2022-09-28T12:05:52.000+10:00 eni-023466675b6xxxxxx 10.0.1.231 8.8.8.8 50691 53 6(17) 3 4 221 1664330752 1664330776 ACCEPT OK 2
2022-09-28T12:05:21.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.1.231 53 50691 6(17) 19 4 216 1664330721 1664330742 ACCEPT OK 18

L'indirizzo IP privato 10.0.101.222 è l'iniziatore con flag TCP 2, che rappresenta un pacchetto TCP SYN.

Nel seguente esempio di protocollo ICMP, non ci sono informazioni sufficienti per determinare quale lato sia l'iniziatore perché non ci sono informazioni sulla porta o sul flag TCP:

2022-09-27T17:57:39.000+10:00 eni-023466675b6xxxxxx 10.0.1.231 8.8.8.8 0 0 1 17 1428 1664265459 1664265483 ACCEPT OK
2022-09-27T17:57:39.000+10:00 eni-023466675b6xxxxxx 8.8.8.8 10.0.1.231 0 0 1 0 17 1428 1664265459 1664265483 ACCEPT OK

Il formato della voce del log di flusso dipende da come tale voce è stata creata. Per ulteriori informazioni sui formati delle righe del log, consulta Visualizzazione dei log di flusso.

Informazioni correlate

Registrazione del traffico IP utilizzando log di flusso VPC

Query di esempio

Argomenti

Networking e distribuzione di contenuti

Tag

Amazon VPC

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso configurare NAT sul mio VPC CIDR per il traffico che attraversa una connessione VPN?
AWS UFFICIALEAggiornata 2 anni fa
Come posso risolvere i problemi di connettività quando utilizzo il gateway NAT sul mio Amazon VPC privato?
AWS UFFICIALEAggiornata 6 mesi fa
Come faccio a ridurre i costi di trasferimento dati per il mio gateway NAT in Amazon VPC?
AWS UFFICIALEAggiornata 7 mesi fa
Come faccio a trovare i principali generatori del traffico verso il gateway NAT nel mio Amazon VPC?
AWS UFFICIALEAggiornata 6 mesi fa