-1

2 つのサブネット( 1 つのプライベートと 1 つのパブリック) を持つVPCを持つ基本的なアーキテクチャがあるとします。プライベート サブネットは、パブリック サブネットに存在するNAT ゲートウェイを使用してインターネットに接続されます (下の画像に示すように) 。

ここで、パブリック サブネットにネットワーク ACLを実装するとします。その中のいくつかのポートを拒否するのは賢明でしょうか?

私が尋ねている理由は、NAT がポート番号を使用して多くのプライベート IP を単一のパブリック IP (私たちの場合は NAT に接続されている Elastic Ip)に接続することを知ったからです。したがって、NACL は問題を作成しません。

ここでは、Nat 関数について学んだことを紹介します - https://www.youtube.com/watch?v=01ajHxPLxAw

ここに画像の説明を入力

4

1 に答える 1

0

はい、NACL を使用できますが、NAT ポート番号に干渉しないように注意する必要があります。NAT ゲートウェイだけでなく、NACL が適切に構成されていない場合、他のリソースの機能に問題が生じる可能性があります。

Nat はポート番号 - 1024-65535 を使用します。

ソース - https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-ephemeral-ports

于 2022-02-10T02:37:16.920 に答える