如何配置在Amazon VPC中使用的自定义NAT

15

我有一个希望用作NAT实例的Ubuntu盒子(除其他外)。我宁愿避免使用Amazon提供的NAT AMI,而是自己配置NAT。

当前,我的主机具有单个网络接口(如http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html中所示)。

我是否可以将Ubuntu主机配置为Amazon网络中其他主机的NAT实例?

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
       5      454 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

我尝试在Ubuntu主机(10.200.0.51)中配置NAT规则。我的第二台主机位于其他网络(10.200.10.41/24)。所以我写道:

route add -net 10.200.0.0 netmask 255.255.255.0 dev eth0 # So I can reach 10.200.0.51
route add default gw 10.200.0.51

但是机器失去了连接。

在Amazon中重新使用NAT实例和路由时,我有什么误解?

amazon-ec2  iptables  nat 
杰蒙特
source
一条小注释,您不需要:route add default gw 1​​0.200.0.51如果您在AWS控制台中正确配置了默认路由,AWS将自动通过NAT框发送流量。
斯洛沃米尔

Answers:

22

您可以在Linux机器上检查Amazon的脚本以配置NAT,该脚本带有其默认的ami-vpc-nat AMI,位于 /usr/local/sbin/configure-pat.sh

看起来像这样: 

#!/bin/bash
# Configure the instance to run as a Port Address Translator (PAT) to provide 
# Internet connectivity to private instances. 

function log { logger -t "vpc" -- $1; }

function die {
    [ -n "$1" ] && log "$1"
    log "Configuration of PAT failed!"
    exit 1
}

# Sanitize PATH
PATH="/usr/sbin:/sbin:/usr/bin:/bin"

log "Determining the MAC address on eth0..."
ETH0_MAC=$(cat /sys/class/net/eth0/address) ||
    die "Unable to determine MAC address on eth0."
log "Found MAC ${ETH0_MAC} for eth0."

VPC_CIDR_URI="http://169.254.169.254/latest/meta-data/network/interfaces/macs/${ETH0_MAC}/vpc-ipv4-cidr-block"
log "Metadata location for vpc ipv4 range: ${VPC_CIDR_URI}"

VPC_CIDR_RANGE=$(curl --retry 3 --silent --fail ${VPC_CIDR_URI})
if [ $? -ne 0 ]; then
   log "Unable to retrive VPC CIDR range from meta-data, using 0.0.0.0/0 instead. PAT may be insecure!"
   VPC_CIDR_RANGE="0.0.0.0/0"
else
   log "Retrieved VPC CIDR range ${VPC_CIDR_RANGE} from meta-data."
fi

log "Enabling PAT..."
sysctl -q -w net.ipv4.ip_forward=1 net.ipv4.conf.eth0.send_redirects=0 && (
   iptables -t nat -C POSTROUTING -o eth0 -s ${VPC_CIDR_RANGE} -j MASQUERADE 2> /dev/null ||
   iptables -t nat -A POSTROUTING -o eth0 -s ${VPC_CIDR_RANGE} -j MASQUERADE ) ||
       die

sysctl net.ipv4.ip_forward net.ipv4.conf.eth0.send_redirects | log
iptables -n -t nat -L POSTROUTING | log

log "Configuration of PAT complete."
exit 0
马丁
source
别忘了在/etc/rc.d/rc.local引导下运行它
Tim Sylvester
18

我已经安装了Amazon NAT AMI并检查了相关配置:

[root @ ip-10-200-0-172 ec2-user]#iptables -L -n -v -x -t nat
链优先(策略接受11个数据包,660字节)
    pkts字节目标prot opt出源目的地         

链输入(策略接受11个数据包,660字节)
    pkts字节目标prot opt出源目的地         

链输出(策略接受357个数据包,24057字节)
    pkts字节目标prot opt出源目的地         

链POSTROUTING(策略接受0个数据包,0个字节)
    pkts字节目标prot opt出源目的地         
     357 24057假面舞会all-* eth0 10.200.0.0/16 0.0.0.0/0

[root @ ip-10-200-0-172 ec2-user]#cat / proc / sys / net / ipv4 / ip_forward 
1

另外,机器需要具有公共IP,并且需要禁用Sourc / Dest检查。

然后,该计算机可用作NAT实例。

在EC2级别(使用“路由表”功能)配置其他主机的路由。

杰蒙特
source
1
是的,源/目标检查是当我必须执行此操作时使我绊倒的事情。
Sirex
有人在做NAT日志记录吗?我认为我应该能够在路由后的开始处插入一个日志记录语句,如下所示:iptables -t nat -I POSTROUTING -j LOG --log-level 4似乎可行,有人提出更好的建议吗?
jorfus 2015年
3

几乎没有什么说明对我有帮助。

笔记:

  • 10.0.0.23-实例的私有ip,我决定将其与EIP一起设置为“ nat-i​​nstance”。
  • 10.0.0.0/24-vpc子网

在“ nat-i​​nstance”上,以root用户身份:

sysctl -q -w net.ipv4.ip_forward=1 net.ipv4.conf.eth0.send_redirects=0
iptables -t nat -C POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE 2> /dev/null || iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

在这之后:

[sysctl file]
net.ipv4.ip_forward = 1
net.ipv4.conf.eth0.send_redirects = 0

[iptables]
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  10.0.0.0/24          0.0.0.0/0

通过AWS控制台:

Grant all traffic from 10.0.0.0/24 (into security groups)
Set disabled source/dest. check (right click on "nat" instance)

在没有EIP的其他情况下:

sudo route add default gw 10.0.0.23

UPD:我发现,在对默认的gw执行ping操作后,VPC中的每个新实例都能正确检测到Internet。

所以:

[ec2-user@ip-10-0-0-6 ~]$ ping google.com
PING google.com (173.194.33.71) 56(84) bytes of data.
^C
--- google.com ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2356ms

[ec2-user@ip-10-0-0-6 ~]$ ping 10.0.0.23
PING 10.0.0.230 (10.0.0.23) 56(84) bytes of data.
64 bytes from 10.0.0.23: icmp_seq=1 ttl=64 time=1.22 ms
64 bytes from 10.0.0.23: icmp_seq=2 ttl=64 time=0.539 ms
64 bytes from 10.0.0.23: icmp_seq=3 ttl=64 time=0.539 ms
^C
--- 10.0.0.23 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2500ms
rtt min/avg/max/mdev = 0.539/0.768/1.228/0.326 ms
[ec2-user@ip-10-0-0-6 ~]$ ping google.com
PING google.com (173.194.33.70) 56(84) bytes of data.
64 bytes from sea09s15-in-f6.1e100.net (173.194.33.70): icmp_seq=1 ttl=55 time=13.5 ms
64 bytes from sea09s15-in-f6.1e100.net (173.194.33.70): icmp_seq=2 ttl=55 time=14.2 ms

我知道这不是问题,但是可以节省一些时间

维克托·佩罗夫(Victor Perov)
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.