NAT实例和NACL配置

Question

我有过

1. 两个公共子网，它有一个NAT EC2实例和一个堡垒主机
2. 一个有一个EC2实例的私有子网

我能够在我的bastion主机上ping google.com，但是我无法从我的私有EC2实例中这样做，我检查了这里提到的所有步骤：- https://aws.amazon.com/premiumsupport/knowledge-center/ec2-internet-connectivity/

我认为问题在于我的NACL。

附加到私有子网的NACL入站规则

​

附在专用子网上的NACL出站规则

​

当我将NACLS从私有子网中分离出来时，Pinging google.com就可以工作了。请核实这些NACLS

注：- 10.100.3.0/24和10.100.0.0/24是我的公共子网的CIDR

Answer 1

您的出站NACL规则阻塞了所有通信量，但注定拥有2个私有IP范围的最终目的地的流量除外。

虽然NAT可能在这些子网中，但目标不是，您应该允许任何您想要公开的IP范围。

Answer 2

NACL是无国籍的。这意味着您必须为传出请求打开相应的协议和端口，还需要为传出请求的返回流量制定入站规则。若要允许对传出ping请求的响应，必须允许入站ICMP通信量。如果要发送HTTP/S请求，则必须允许TCP上的临时端口上的入站通信量。

您可以了解更多关于网络ACL和临时端口这里的信息。