AWS ใช้ SrcDestCheck อย่างไร (การตรวจสอบแหล่งที่มา / ปลายทาง)

เอกสารประกอบสำหรับการตั้งค่าอินสแตนซ์ NAT ระบุว่าคุณต้องปิดใช้งานการตรวจสอบต้นทาง/ปลายทางบนอินสแตนซ์ NAT ของคุณเพื่อให้ทำงานได้ จาก https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html#EIP_Disable_SrcDestCheck

EC2 แต่ละอินสแตนซ์ทำการตรวจสอบต้นทาง/ปลายทางตามค่าเริ่มต้น นี้ หมายความว่าอินสแตนซ์ต้องเป็นต้นทางหรือปลายทางของสิ่งใดสิ่งหนึ่ง การจราจรที่ส่งหรือรับ อย่างไรก็ตาม อินสแตนซ์ NAT จะต้องสามารถทำได้ ส่งและรับทราฟฟิกเมื่อต้นทางหรือปลายทางไม่ใช่ตัวมันเอง ดังนั้น คุณต้องปิดใช้งานการตรวจสอบต้นทาง/ปลายทางใน NAT ตัวอย่าง.

ตามหลักการแล้ว มันสมเหตุสมผลแล้ว แต่ที่ผมสงสัยคือมันบังคับใช้ยังไง ความเข้าใจที่ไม่ใช่ผู้เชี่ยวชาญของฉันเกี่ยวกับ NAT คือแพ็กเก็ตที่ส่งโดยโหนด NAT ควรมีลักษณะเหมือนกับที่มาจากโหนด NAT เองโดยมีที่อยู่ IP เป็นแหล่งที่มา

ดังนั้น สิ่งเดียวที่ฉันคิดได้คือการตรวจสอบแหล่งที่มาของการรับส่งข้อมูล ด้วยโครงร่างที่ AWS กำลังดูค่า TTL และรู้จักระบบปฏิบัติการสำหรับแต่ละอินสแตนซ์ และหากไม่ใช่ค่าเริ่มต้นที่เริ่มต้น TTL แพ็กเก็ตจะถูกปฏิเสธ (ซึ่ง จะไม่ใช่แนวทางใหม่ในการบล็อก NAT) สำหรับขาออก / SNAT ค่าเริ่มต้นจะเป็น - 1 และสำหรับขาเข้า / DNAT จะน้อยกว่าหนึ่ง TTL ที่ได้รับจากแพ็กเก็ตจากอินเทอร์เน็ตเกตเวย์ (ซึ่งอาจตรงกันได้หากผู้ส่งมี TTL เริ่มต้นที่สูงกว่า และจำนวนฮอปก็พอดี)

อย่างไรก็ตาม สำหรับการตรวจสอบปลายทางการรับส่งข้อมูล จะรู้ได้อย่างไรว่าแพ็กเก็ตขาเข้าไปยังอินสแตนซ์ NAT ซึ่งจะมี IP สาธารณะของอินสแตนซ์นั้นไม่มีปลายทาง (สุดท้าย) ของอินสแตนซ์ NAT นั้น ความจริงที่ว่าอินสแตนซ์ NAT จะพยายามส่งต่อแพ็กเก็ตหลังจากได้รับนั้นดูเหมือนเป็นเรื่องรอง กำลังทำการรวมการตรวจจับ TTL แบบ stateful บนขาออกเพื่อให้ทราบว่าพอร์ตชั่วคราวบนอินสแตนซ์ NAT นั้นใช้สำหรับรับการตอบกลับไปยังการเชื่อมต่อ NAT-ed หรือไม่ หรือเป็นการตรวจสอบปลายทาง เท่านั้น สำหรับความสามารถของอินสแตนซ์ของ NAT ในการรับแพ็กเก็ตบนซับเน็ตส่วนตัว (ซึ่งเป็นการตรวจสอบที่อยู่ IP ปลายทางที่ง่าย)