Quando si esamina Flowlogs
per un host su private subnet
in un VPC AWS, gli indirizzi IP instradabili vengono rifiutati. Come è possibile? Mi aspetto che gli indirizzi IP dalla sottorete privata possano essere rifiutati, ma non gli IP instradabili
Questo è un esempio del log di flusso:
12:24:40 2 redacted eni-obfuscated 149.28.xx.xx 10.55.27.62 53501 22 6 1 40 1539951880 1539951940 REJECT OK
13:22:41 2 redacted eni-obfuscated 60.51.xx.xx 10.55.27.62 60375 8081 6 1 40 1539955361 1539955421 REJECT OK
13:39:41 2 redacted eni-obfuscated 221.229.xx.xx 10.55.27.62 9090 22 6 1 40 1539956381 1539956441 REJECT OK
Il layout VPC contiene una subnet pubblica e privata. La sottorete privata esegue il routing in uscita verso Internet tramite un gateway NAT AWS. La sottorete pubblica contiene un host bastione che viene utilizzato per connettersi all'host privato.
Il server bastion ha un gruppo di sicurezza che consente solo nella porta 22 di indirizzi IP specifici (a.b.c.d / 32).
L'host sulla sottorete privata ha un gruppo di sicurezza che consente solo l'accesso ssh dall'host del bastione e tutto il traffico dalla sottorete privata.
Quindi da dove viene questo? Sul lato positivo, nessun indirizzo IP che non mi aspetto venga accettato.