Flowlog AWS per sottorete privata che mostra IP instradabili

3

Quando si esamina Flowlogs per un host su private subnet in un VPC AWS, gli indirizzi IP instradabili vengono rifiutati. Come è possibile? Mi aspetto che gli indirizzi IP dalla sottorete privata possano essere rifiutati, ma non gli IP instradabili

Questo è un esempio del log di flusso:

12:24:40 2 redacted eni-obfuscated 149.28.xx.xx 10.55.27.62 53501 22 6 1 40 1539951880 1539951940 REJECT OK

13:22:41 2 redacted eni-obfuscated 60.51.xx.xx 10.55.27.62 60375 8081 6 1 40 1539955361 1539955421 REJECT OK

13:39:41 2 redacted eni-obfuscated 221.229.xx.xx 10.55.27.62 9090 22 6 1 40 1539956381 1539956441 REJECT OK

Il layout VPC contiene una subnet pubblica e privata. La sottorete privata esegue il routing in uscita verso Internet tramite un gateway NAT AWS. La sottorete pubblica contiene un host bastione che viene utilizzato per connettersi all'host privato.

Il server bastion ha un gruppo di sicurezza che consente solo nella porta 22 di indirizzi IP specifici (a.b.c.d / 32).
L'host sulla sottorete privata ha un gruppo di sicurezza che consente solo l'accesso ssh dall'host del bastione e tutto il traffico dalla sottorete privata.

Quindi da dove viene questo? Sul lato positivo, nessun indirizzo IP che non mi aspetto venga accettato.

    
posta kenlukas 19.10.2018 - 18:55
fonte

1 risposta

0

TL; DR - C'era un Network Load Balancer (NLB) nella sottorete privata di fronte all'host nella rete privata. Questo NLB aveva un IP pubblico.

When there is a Public IP associated to the network interface, traffic from the client public IP (source) will reach the ENI provided the security group and ACL allows the traffic to come in, regardless of whether there is IGW as default route or not.

Poiché un NLB AWS non utilizza i gruppi di sicurezza e non è presente alcun NACL, il traffico instradabile è stato in grado di raggiungere la sottorete privata. Il gruppo di sicurezza sull'host ha respinto il traffico ed è ciò che è stato visualizzato in Flow Logs .

Il traffico di risposta non sarebbe uscito dalla sottorete privata perché le tabelle di percorso sono seguite. Le tabelle di routing non vengono utilizzate per controllare il traffico in entrata, ma controllano le risposte.

Puoi chiarire perché un NLB in una sottorete privata, anche con un indirizzo IP pubblicamente instradabile, può ricevere traffico quando la sua sottorete non viene instradata attraverso il gateway Internet?

Dal punto di vista dello scanner di una porta non avrebbero ricevuto alcuna risposta dal NLB.

SYN from the client will reach the NLB, but no SYN-ACK would be sent to the client as now route table would be evaluated for response traffic and as there is no route to IGW the response traffic would be dropped.

To summarize, NLB or your backend target are not responding to internet traffic. Traffic would be accepted by Public IP on private subnet regardless of the route table default route.

Riferimento: supporto AWS

    
risposta data 31.10.2018 - 20:30
fonte

Leggi altre domande sui tag