1. дома
  2. Вопрос и ответ
  3. Открытие пользовательского порта на AWS

Открытие пользовательского порта на AWS

2016-06-06 2 views
0

Я настраиваю экземпляр NAT, который должен перенаправлять все входящие запросы на порт 2222 на порт 22 сервера в частной подсети в моем виртуальном частном облаке, поэтому я могу подключиться к SSH прямо к моему частная инстанция. Я открыл порт 2222 на группу безопасности и 22 нац экземпляра на группу безопасности моего частного экземпляра, а также добавленОткрытие пользовательского порта на AWS

/etc/ssh/sshd_config

следующие строки:

Port 22 
Port 2222

птар на экземпляре NAT показывает, что порт 2222 открыт:

PORT  STATE SERVICE 
22/tcp open ssh 
25/tcp open smtp 
111/tcp open rpcbind 
2222/tcp open EtherNet/IP-1

Я также добавил это следующее Iptables править на моем случае NAT, следовательно, любые пакеты, которые приходят на порт 2222 должны быть перенаправлено на 10.0.2.18:22 (10.0.2.18 это частный случай IP):

sudo iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 10.0.2.18:22

Проблема заключается в том, что я не могу добраться до порта 2222 моего экземпляра NAT, если я пытаюсь это:

ssh -p 2222 -i mykey.pem [email protected]_nat_ip

или это:

nc -zv my_nat_ip 2222

У меня есть время установления связи.

Заранее спасибо за помощь.

источник

2016-06-06 Chittolina

+1

Вы можете вставить правило группы безопасности для своего экземпляра NAT? – error2007s

+0

В ssh_config просто держите линию Порт 2222 удалите строку Порт 22 и проверьте – error2007s

+0

Проверьте мой второй комментарий, вы попробовали это? – error2007s

ответ

1

Несколько вещей для Вас, чтобы проверить (если вы уже исключили группы безопасности):

  • Проверьте, если вы не отрекся трафик в сети списков контроля доступа (NaCl).

  • Проверьте, не показывает ли таблица маршрутов для вашей частной подсети трафик для экземпляра NAT.

  • Проверьте, отключили ли вы Source/Destination Check экземпляр NAT.

Кроме того, возможно, вы захотите включить VPC Flow Logs на вашем VPC, чтобы помочь вам найти, куда могут упасть эти пакеты.

И еще одно предложение: вы можете рассмотреть альтернативу переадресации портов, поскольку это в основном раскрывает ваш экземпляр в частной подсети опасному интернету. Общим подходом является то, что обычно называют Бастион-хост. Или Перейти хост. Для этой цели некоторые люди используют NAT-экземпляр. Несколько способов сделать это включают: (1) использование локального порта SSH; (2) использовать динамический прокси-сервер SSH; (3) используйте опцию ProxyCommand на вашем SSH-клиенте. Есть много ответов на все эти темы на StackOverflow и других сайтах StackExchange, вы обязательно найдете много способов сделать это!

источник

2016-06-06 23:39:57

+0

Я проверю это. Проблема в том, что мне нужно каким-то образом получить доступ к Интернету из моей частной подсети. Я использую экземпляр NAT, потому что с ним я могу разрешить входящие (для ssh) и исходящий трафик получать обновления программного обеспечения. Поэтому в другом сценарии, например, с использованием бастионного хоста, мне нужно будет настроить хотя бы NAT-шлюз, поэтому я мог бы подключиться к Интернету из своей частной подсети. Считаете ли вы это хорошим решением? – Chittolina

 Смежные вопросы

  • Нет связанных вопросов^_^