1

その中に 2 つのサブネットを持つ VPC があります。

  1. Natインスタンスを使用するパブリック サブネット
    インターネットからの着信接続は許可されません。
  2. アプリケーション サーバーを
    使用したプライベート サブネット プライベート サブネットのルート テーブルは、宛先 0.0.0.0/0 に Nat インスタンスの eni を使用するため、アプリケーション サーバーは Nat インスタンスを介して外部サーバーにリクエストを送信できます。

VPC フロー ログの形式は次のとおりです。

ここに画像の説明を入力

だから、私が見たアプリケーションサーバーのフローログで:

ここに画像の説明を入力

外部ホスト 31.220.24.x が私のプライベート インスタンス 172.30.4.205 に接続しようとしているようですね。しかし、このドキュメントによると、 tcp-flagとしての18は SYN-ACK を意味するため、内部ホストからの私の SYN パケットに対する外部ホストからの応答です。以前の SYN パケットなしで SYN-ACK を取得することに混乱したので、このケースをシミュレートして、すべてのパケットをtcpdumpで記録しようとしました。172.30.4.205 から 31.220.24.x にいくつかのデータを送信し、CloudWatch で同じログを取得しましたが、WireShark の 3 つのパケットすべて - SYN、SYN-ACK、ACK:

ここに画像の説明を入力

では、なぜアプリケーション サーバーの CloudWatch ログに最初の SYN パケットが表示されないのでしょうか。前もって感謝します!

4

0 に答える 0