So konfigurieren Sie ein benutzerdefiniertes NAT für die Verwendung in Amazon VPC

15

Ich habe eine Ubuntu-Box, die ich (unter anderem) als NAT-Instanz verwenden möchte. Ich würde es vorziehen, die von Amazon bereitgestellten NAT-AMIs nicht zu verwenden und stattdessen NAT selbst zu konfigurieren.

Derzeit verfügt mein Host über eine einzige Netzwerkschnittstelle (siehe http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html ).

Soll ich meinen Ubuntu-Host als NAT-Instanz für die anderen Hosts in meinem Amazon-Netzwerk konfigurieren können?

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       5      454 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0  

Ich habe versucht, eine NAT-Regel auf dem Ubuntu-Host (10.200.0.51) zu konfigurieren. Mein zweiter Host befindet sich in einem anderen Netzwerk (10.200.10.41/24). Also schrieb ich:

route add -net 10.200.0.0 netmask 255.255.255.0 dev eth0 # So I can reach 10.200.0.51
route add default gw 10.200.0.51

Aber die Maschine hat die Verbindung verloren.

Was missverstehe ich, wenn ich die Verwendung von NAT-Instanzen und das Routing in Amazon neu einsetze?

jjmontes
quelle
Ein kleiner Kommentar, den Sie nicht brauchen: route add default gw 10.200.0.51 AWS sendet automatisch Verkehr über Ihre NAT-Box, wenn Sie Ihre Standardroute in der AWS-Konsole richtig konfigurieren.
Slawomir

Antworten:

22

Sie können das Amazon-Skript überprüfen, um NAT auf einem Linux-Computer zu konfigurieren. Es wird mit der Standard-AMI von ami-vpc-nat geliefert /usr/local/sbin/configure-pat.sh

Es sieht aus wie das:

#!/bin/bash
# Configure the instance to run as a Port Address Translator (PAT) to provide 
# Internet connectivity to private instances. 

function log { logger -t "vpc" -- $1; }

function die {
    [ -n "$1" ] && log "$1"
    log "Configuration of PAT failed!"
    exit 1
}

# Sanitize PATH
PATH="/usr/sbin:/sbin:/usr/bin:/bin"

log "Determining the MAC address on eth0..."
ETH0_MAC=$(cat /sys/class/net/eth0/address) ||
    die "Unable to determine MAC address on eth0."
log "Found MAC ${ETH0_MAC} for eth0."

VPC_CIDR_URI="http://169.254.169.254/latest/meta-data/network/interfaces/macs/${ETH0_MAC}/vpc-ipv4-cidr-block"
log "Metadata location for vpc ipv4 range: ${VPC_CIDR_URI}"

VPC_CIDR_RANGE=$(curl --retry 3 --silent --fail ${VPC_CIDR_URI})
if [ $? -ne 0 ]; then
   log "Unable to retrive VPC CIDR range from meta-data, using 0.0.0.0/0 instead. PAT may be insecure!"
   VPC_CIDR_RANGE="0.0.0.0/0"
else
   log "Retrieved VPC CIDR range ${VPC_CIDR_RANGE} from meta-data."
fi

log "Enabling PAT..."
sysctl -q -w net.ipv4.ip_forward=1 net.ipv4.conf.eth0.send_redirects=0 && (
   iptables -t nat -C POSTROUTING -o eth0 -s ${VPC_CIDR_RANGE} -j MASQUERADE 2> /dev/null ||
   iptables -t nat -A POSTROUTING -o eth0 -s ${VPC_CIDR_RANGE} -j MASQUERADE ) ||
       die

sysctl net.ipv4.ip_forward net.ipv4.conf.eth0.send_redirects | log
iptables -n -t nat -L POSTROUTING | log

log "Configuration of PAT complete."
exit 0
Martin
quelle
Vergessen Sie nicht, es beim Booten von /etc/rc.d/rc.local
Tim Sylvester
18

Ich habe ein Amazon NAT AMI installiert und die entsprechende Konfiguration überprüft:

[root @ ip-10-200-0-172 ec2-user] # iptables -L -n -v -x -t nat
Chain PREROUTING (Policy ACCEPT 11 Pakete, 660 Bytes)
    pkts bytes target prot opt ​​in out source destination         

Chain INPUT (Policy ACCEPT 11-Pakete, 660 Byte)
    pkts bytes target prot opt ​​in out source destination         

Chain OUTPUT (Richtlinie ACCEPT 357 Pakete, 24057 Bytes)
    pkts bytes target prot opt ​​in out source destination         

Chain POSTROUTING (Policy ACCEPT 0 Pakete, 0 Bytes)
    pkts bytes target prot opt ​​in out source destination         
     357 24057 MASQUERADE all - * eth0 10.200.0.0/16 0.0.0.0/0

[root @ ip-10-200-0-172 ec2-user] # cat / proc / sys / net / ipv4 / ip_forward 
1

Außerdem muss der Computer über eine öffentliche IP-Adresse verfügen und die Sourc / Dest-Prüfung muss deaktiviert sein.

Dieser Rechner kann dann als NAT-Instanz verwendet werden.

Das Routing für andere Hosts wird auf EC2-Ebene konfiguriert (mithilfe der Funktion "Routing table").

jjmontes
quelle
1
Ja, der Source / Dest Check ist das, was mir aufgefallen ist, als ich das tun musste.
Sirex
Tut jemand NAT-Protokollierung? Ich denke, ich sollte in der Lage sein, zu Beginn des Postroutings eine Protokollierungsanweisung wie folgt einzufügen:
Jorfus
3

Es gibt einige Anweisungen, die mir geholfen haben.

Anmerkungen:

  • 10.0.0.23 - Private IP-Adresse der Instanz, die ich als "Nat-Instanz" festgelegt habe, diese Instanz mit EIP.
  • 10.0.0.0/24 - VPC-Subnetz

Auf "nat-instance" als root-Benutzer:

sysctl -q -w net.ipv4.ip_forward=1 net.ipv4.conf.eth0.send_redirects=0
iptables -t nat -C POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE 2> /dev/null || iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

danach:

[sysctl file]
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0

[iptables]
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.0.0.0/24          0.0.0.0/0 

über AWS Console:

Grant all traffic from 10.0.0.0/24 (into security groups)
Set disabled source/dest. check (right click on "nat" instance)

In anderen Fällen ohne EIP:

sudo route add default gw 10.0.0.23

UPD : Ich habe herausgefunden, dass jede neue Instanz in meiner VPC das Internet korrekt erkannt hat, nachdem ich das Standard-GW gepingt habe.

So:

[ec2-user@ip-10-0-0-6 ~]$ ping google.com
PING google.com (173.194.33.71) 56(84) bytes of data.
^C
--- google.com ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2356ms

[ec2-user@ip-10-0-0-6 ~]$ ping 10.0.0.23
PING 10.0.0.230 (10.0.0.23) 56(84) bytes of data.
64 bytes from 10.0.0.23: icmp_seq=1 ttl=64 time=1.22 ms
64 bytes from 10.0.0.23: icmp_seq=2 ttl=64 time=0.539 ms
64 bytes from 10.0.0.23: icmp_seq=3 ttl=64 time=0.539 ms
^C
--- 10.0.0.23 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2500ms
rtt min/avg/max/mdev = 0.539/0.768/1.228/0.326 ms
[ec2-user@ip-10-0-0-6 ~]$ ping google.com
PING google.com (173.194.33.70) 56(84) bytes of data.
64 bytes from sea09s15-in-f6.1e100.net (173.194.33.70): icmp_seq=1 ttl=55 time=13.5 ms
64 bytes from sea09s15-in-f6.1e100.net (173.194.33.70): icmp_seq=2 ttl=55 time=14.2 ms

Ich wusste, das ist kein Problem, aber es kann einige Zeit sparen

Victor Perov
quelle