我正在使用私有和公共子网设置一个AWS VPC。在公共子网中,我创建了2个实例:一个作为堡垒主机,另一个作为Web服务器。对于Web服务器,我只想将端口80开放给公众使用,但是SSH访问需要通过堡垒主机进行。
我创建了2个巴黎SSH密钥。其中一个专用于公众从外部访问堡垒主机。另一个是从堡垒主机到Web服务器的私有SSH访问(以及将在私有子网中创建的所有其他实例)。
目前,我可以按预期的方式通过SSH进入堡垒主机。但是,从堡垒主机,我无法通过SSH进入Web服务器,尽管我有正确的入站安全性规则。为了找到问题,我进行了更多测试。首先,我在Web服务器上扩展了入站规则,以允许公共SSH访问。一旦这样做,我就可以从外部通过SSH进入Web服务器。其次,我添加了仅来自堡垒主机和来自公共(0.0.0.0/0)的ICMP流量规则。但是,我可以从外部ping通,但不能从堡垒主机ping通。
Below is the webserver (IP: 191.100.0.56) inbound and outbound rules. Note that IP 191.100.0.162 is the bastion host IP.
[WebServer Inbound rules]
Ports Protocol Source
22 tcp 191.100.0.160/32, 0.0.0.0/0
[WebServer Outbound rules]
Ports Protocol Source
All All 0.0.0.0/0
The subnet ACL is default which is Allow ALL for both inbound and outbound.
100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW
* ALL Traffic ALL ALL 0.0.0.0/0 DENY
我想知道问题可能出在哪里?这对我来说有点奇怪。为什么我可以从公共而不是堡垒主机访问(SSH或ping)?