AWS VPCを介したポート転送NAT

はい、私はすでにインターネットを精査し、人気のあるIPTables/DNATガイド/ページ/投稿のほとんどを読みました。

私の問題

概要複数のサブネットを持つVPCがあります。特に1つのサブネットでは、インターネット接続にEIPが必要です。このサブネットにWebサーバーがあります。 NATのの後ろからアクセスする必要があります（同じサブネット内にもあり、EIPがあります）。特定のポート宛ての着信パケットが別のホストに送信されるようにNATを設定しようとしています（本質的にはDNATが必要です）

パート1：VPC内：

NATアクセス可能なSSHプロキシを介してWANインスタンスにSSH接続しました。以下は、Amazon NATインスタンスに付属するデフォルトのIPTablesです。特別なことは何もありません。予想どおりPOSTROUTEルールのみです。 NATインスタンスにはoneインターフェースしかありません。 eth0（そしてlo、しかし存在しないふりをしましょう）

[root@IP_NAT ec2-user]# iptables -t nat -L --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination     

OK。次に、2つのポート転送を追加して、NATの背後でWebサーバーにアクセスできるようにします

[root@IP_NAT ec2-user]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination IP_WEBSERVER:80
[root@IP_NAT ec2-user]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination IP_WEBSERVER:443

正しい！私の仕事をチェックする時間：

[root@IP_NAT ec2-user]# iptables -t nat -L --line-numbers
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DNAT       tcp  --  anywhere             anywhere             tcp dpt:http to:IP_WEBSERVER:80
2    DNAT       tcp  --  anywhere             anywhere             tcp dpt:https to:IP_WEBSERVER:443

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    MASQUERADE  all  --  ip-10-0-0-0.us-west-1.compute.internal/16  anywhere  

したがって、問題なく動作するように見えます。例外として、彼らはしません。 :(。natとWebサーバーの間で心に込めてwget/telnet/ping/sshを実行できます。NATにsomeポートでtelnetを実行できますが、その他はタイムアウト。NATインスタンスを管理するAWSセキュリティグループが正しいポートの入出力を許可していることをtriple確認しました。テストのためだけにallトラフィックを許可しましたすべてのポートで両方のイン/アウト私はまだ同じ問題を抱えています。

ウェブサーバーのログには何も表示されません。

私のlocalマシンからの出力の一部を次に示します。

LOCAL_USER@LOCAL_Host:~$ telnet AWS_EIP 443
Trying AWS_EIP...
^C                (time out, here)
LOCAL_USER@LOCAL_Host:~$ telnet AWS_EIP 80
Trying AWS_EIP...
^C                (time out, here)
LOCAL_USER@LOCAL_Host:~$ telnet AWS_EIP 22
Trying AWS_EIP...
Connected to AWS_EIP.
Escape character is '^]'.
SSH-2.0-OpenSSH_6.2
asd
Protocol mismatch.
Connection closed by foreign Host.

したがって、ポート22でTCP接続を開こうとすると、すぐに機能します。 iptablesがこれらのポートでトラフィックを明示的に許可しているにもかかわらず、ポート443または80でNATが「リッスン」しないのはなぜですか？

役立つ情報の最後のビットとして、sysctl.confファイルを次に示します。

[root@IP_NAT ec2-user]# cat /etc/sysctl.conf 

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

# Controls source route verification
net.ipv4.conf.default.rp_filter = 0

# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 1

# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0

# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1

# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1

なぜパケットが私のウェブサーバーに届かないのかについて何か考えはありますか？