我想使用外部服务黑名单ip,如果他们检测到来自他们的过多流量(反DOS)。因此,我需要能够为此服务提供特定的IP,以便他们可以将该IP列入白名单。
所以我创建了我的nat网关并设置路由,这样任何流向此服务的流量都通过nat网关传输。
问题是此服务也是云服务,因此其IP地址不是静态的。
最好的情况是,我可以为所有IP地址设置过滤器,并通过nat网关进行路由。问题是返回的流量也通过nat网关进行。所以这意味着我不能再进入我的实例或从外部连接到我的数据库,因为它是一个安全的链接,并要求返回通过相同的路径。
根据我在网络ACL配置中看到的内容,我可以将返回流量与发送流量区别对待 - 这是通过端口。但似乎我不能对nat网关做同样的事情......
有没有办法不通过nat网关发送返回的流量?或者这个问题的另一个解决方案?
答案 0 :(得分:0)
所以这意味着我不能再ssh到我的实例或从外部连接到我的数据库
这是唯一的问题,还是外部服务与主机建立连接(而不是通过主机发起的单一连接进行回复)?
如果是前者,那么你可以做两件事。第一种是使用VPN,以便您的计算机或网络在逻辑上是VPC的一部分。对于小型站点而言,第二种方法更为普遍,就是使用bastion host:生活在公有子网上的EC2实例,并允许SSH隧道连接到私有子网上的实例。
您还可以使用公共IP公开数据库,以避免需要隧道,但我真的不建议这样做。只要私有子网上的实例使用AWS暴露的端点(或该端点的Route53别名),它们就会连接到数据库的私有IP。