Por: Frank Tovar — IVCISA — Enero 23/2023
Cuando diseñas soluciones a problemáticas comunes mediante Amazon Web Services (AWS), es común toparse con escenarios donde se encuentran segregadas subredes públicas y privadas. Los recursos privados es común protegerlos del acceso público no autorizado, pero estos pueden acceder a internet mediante una instancia en la subred pública actuando como puerta de enlace de salida.
Una NAT Instance de AWS es simplemente una Instance EC2 que se ejecuta como servicios en una subred pública. Entre sus beneficios podríamos mencionar:
1. Ancho de banda: Depende del tipo de instancia configurada.
2. Mantenimiento: Administrado por usted.
3. Costo: Se cobra en función del número de instancias NAT que utilice, la duración del uso, tamaño y tipo de instancia.
4. Tipo y tamaño: Permite elegir la adecuada acorde con la estimación de su carga de trabajo.
5. Dirección IP pública: Utilice una dirección IP elástica o una dirección IP pública con una instancia NAT.
6. Grupos de seguridad: Asocie su instancia NAT y los recursos detrás de su instancia NAT para controlar el tráfico entrante y saliente.
7. Enrutamiento de puertos: Personalice manualmente la configuración para que admita el reenvío de puertos.
8. Servidores bastión: Se pueden utilizar como servidor bastión.
Requisito:
Crear una Instance EC2 con el tipo y tamaño mínimo requerido, con una AMI básica, por ejemplo, Amazon Linux 2, y luego de estar en ejecución y con acceso remoto seguro, utilice los siguientes comandos:
sudo sysctl -w net.ipv4.ip_forward=1
sudo /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo yum install iptables-services
sudo service iptables sabe
NOTA: Si reinicia la Instance EC2 deberá garantizar la ejecución de los comandos nuevamente para que se ejecute como Instance NAT.
Para configurar una instancia NAT
1. Cree una VPC con dos subredes.
a. Cree una VPC (consulte Creación de una VPC).
b. Cree dos subredes (consulte Creación de una subred).
c. Adjunte una puerta de enlace de Internet a la VPC (consulte Crear y adjuntar una gateway de Internet).
d. Cree una tabla de enrutamiento personalizada que envíe el tráfico cuyo destino esté fuera de la VPC a la puerta de enlace de Internet y, a continuación, asóciela a una subred, lo que la convierte en una subred pública (consulte Creación de una tabla de ruteo personalizada).
2. Cree el grupo de seguridad de NATSG (consulte Crear el grupo de seguridad de NATSG). Este grupo de seguridad se especifica al lanzar la instancia NAT.
3. Lance una instancia en su subred pública desde una AMI que se haya configurado para ejecutarse como instancia NAT.
a. Abra la consola de Amazon EC2.
b. En el panel, elija el botón Launch Instance y complete el asistente de la siguiente forma:
i. En la página Elegir una Amazon Machine Image (AMI), establezca el filtro en De mi propiedad y, a continuación, seleccione la AMI.
ii. En la página Choose an Instance Type, seleccione el tipo de instancia y, a continuación, elija Next: Configure Instance Details.
iii. En la página Configure Instance Details, seleccione la VPC que creó en la lista Network y seleccione la subred pública desde la lista Subnet.
iv. (Opcional) Seleccione la casilla de verificación Public IP para solicitar que la instancia NAT reciba una dirección IP pública. Si elige no asignar una dirección IP pública ahora, puede asignar una dirección IP elástica y asignarla a su instancia una vez lanzada. Elija Next: Add Storage (Siguiente: Agregar almacenamiento).
v. Puede elegir añadir almacenamiento a su instancia y, en la página siguiente, añadir etiquetas. Elija Next: Configure Security Group cuando haya terminado.
vi. En la página Configure Security Group, seleccione la opción Select an existing security group y seleccione el grupo de seguridad NATSG que ha creado. Elija Review and Launch.
vii. Revise los ajustes que ha elegido. Realice los cambios que necesite y, a continuación, elija Launch para seleccionar un par de claves y lanzar su instancia.
4. Deshabilite el atributo
SrcDestCheck
para la instancia NAT (consulte Deshabilitar las comprobaciones de origen/destino).
5. Si no ha asignado una dirección IP pública a su instancia NAT durante el lanzamiento (paso 3), debe asociarle una dirección IP elástica.
a. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
b. En el panel de navegación, elija Elastic IPs y, a continuación, elija Allocate new address.
c. Elija Allocate.
d. Seleccione la dirección IP elástica de la lista y, a continuación, elija Actions, Associate address.
e. Seleccione el recurso de interfaz de red y, a continuación, seleccione la interfaz de red para la instancia NAT. Seleccione la dirección a la que desea asociar la IP elástica en la lista Private IP y, a continuación, elija Associate.
6. Actualice la tabla de ruteo principal para enviar el tráfico a la instancia NAT. Para obtener más información, consulte Actualizar la tabla de ruteo principal.
Fuentes:
· https://docs.aws.amazon.com/es_es/vpc/latest/userguide/VPC_NAT_Instance.html
· https://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-nat-comparison.html