บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

NAT ปลายทางไปยังเครือข่ายเดียวกันใน AWS โดยใช้ IPTables

ธง us
Astron

ใน AWS เรามี 3 อินสแตนซ์ในซับเน็ต/VPC เดียวกัน เราต้องการให้อินสแตนซ์ไคลเอ็นต์ส่งคำขอ DNS ไปยังอินสแตนซ์การวิเคราะห์ที่สอง ซึ่งจะส่งต่อคำขอไปยังอินสแตนซ์ที่สามที่ใช้บริการ DNS บริการ DNS ควรให้การตอบสนองต่ออินสแตนซ์การวิเคราะห์ ซึ่งควรตอบกลับไปยังไคลเอ็นต์

จุดประสงค์คือเพื่อให้อินสแตนซ์การวิเคราะห์สามารถสกัดกั้นการรับส่งข้อมูลระหว่างไคลเอ็นต์และอินสแตนซ์ DNS เพื่อวัตถุประสงค์ในการวิเคราะห์

อินสแตนซ์ไคลเอนต์ -> อินสแตนซ์การวิเคราะห์ (NAT) -> อินสแตนซ์ DNS

การตั้งค่าปัจจุบันอนุญาตให้อินสแตนซ์ไคลเอนต์ส่งคำขอ DNS ผ่านอินสแตนซ์การวิเคราะห์ไปยังอินสแตนซ์ DNS อินสแตนซ์ DNS ตอบสนองต่ออินสแตนซ์การวิเคราะห์ต่อ tcpdump แต่อินสแตนซ์ไคลเอนต์ไม่เคยได้รับการตอบสนองจากอินสแตนซ์การวิเคราะห์

เรามีการตรวจสอบต้นทาง/ปลายทางใน AWS สำหรับอินสแตนซ์การวิเคราะห์ที่ปิดใช้งาน NAT

เราเปิดใช้งานการส่งต่อในอินสแตนซ์การวิเคราะห์ก่อน:

sudo sysctl -w net.ipv4.ip_forward=1

จากนั้นเราจะเพิ่มกฎ IPTables ต่อไปนี้ลงในอินสแตนซ์การวิเคราะห์

sudo iptables -A ส่งต่อ -p udp --dport 53 -d 192.168.1.151 -j ยอมรับ
sudo iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.151
sudo iptables -t nat -A POSTROUTING -d 192.168.1.151 -s 192.168.1.156 -p udp --dport 53 -j SNAT --to 192.168.1.213

อื่น โพสต์ กฎต่อไปนี้ถูกลองใช้เช่นกัน

sudo iptables -t nat -A POSTROUTING -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -p udp -d 192.168.1.151 --dport 53 -j SNAT --to-source 192.168.1.213
sudo iptables -t nat -A POSTROUTING -p udp -d 192.168.1.151 --dport 53 -j MASQUERADE

ด้วยผลลัพธ์เดียวกัน อินสแตนซ์ของไคลเอ็นต์จะไม่ได้รับคำตอบ DNS เลย คิดเกี่ยวกับสิ่งที่อาจทำให้อินสแตนซ์การวิเคราะห์ไม่ส่งคืนการตอบกลับหรือไม่

105
0 + 0
us flag
Astron
AWS Security Groups ไม่มี NAT หรือการส่งต่อ
0
ตอบกลับ
us flag
Astron
ขอขอบคุณข้อเสนอแนะจะชี้แจงคำถาม
0
ตอบกลับ
Tim avatar
gp flag
Tim
สงสัยว่าทำไมคุณถึงใช้สถาปัตยกรรมนี้ ดูเหมือนจะผิดปกติจริงๆ หากคุณอธิบายสิ่งที่คุณพยายามบรรลุ คุณอาจได้รับความช่วยเหลือในภาพรวม แต่อาจเป็นเพียงภาระงานที่ผิดปกติไม่สามารถช่วยรายละเอียดได้ ขออภัย ลบความคิดเห็นก่อนหน้านี้เนื่องจากไม่มีประโยชน์อีกต่อไป
0
ตอบกลับ
us flag
Astron
ฉันเข้าใจแล้วว่าขาดอะไรไปและกำลังจะตอบคำถามนี้ จะอัปเดตคำถามเช่นกันสำหรับบริบท
0
ตอบกลับ
Score:1
avatar Server
ธง us
Astron

ปัญหาคือห่วงโซ่ FORWARD ไม่อนุญาตให้รับส่งข้อมูลกลับ ดังนั้นจึงจำเป็นต้องมีกฎต่อไปนี้:

sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ยอมรับ

โซลูชันแบบเต็มมีลักษณะดังนี้:

sudo iptables -A ส่งต่อ -p udp --dport 53 -d 192.168.1.151 -j ยอมรับ
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ยอมรับ
sudo iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.151
sudo iptables -t nat -A POSTROUTING -p udp --dport 53 -j SNAT --to 192.168.1.213
0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา