Inspecionar o tráfego destinado a uma sub-rede - Amazon Virtual Private Cloud
Tabela de rotas do gateway da InternetTabela de rotas da sub-rede de destinoTabela de rotas da sub-rede do middlebox

Inspecionar o tráfego destinado a uma sub-rede

Considere o cenário em que há tráfego entrando na VPC por meio de um gateway da Internet e você deseja inspecionar todo o tráfego destinado a uma sub-rede, digamos, sub-rede B, usando um dispositivo de firewall instalado em uma instância do EC2. O dispositivo de firewall deve ser instalado e configurado em uma instância do EC2 em uma sub-rede separada da sub-rede B na VPC, por exemplo, a sub-rede C. Você pode usar o assistente de roteamento do middlebox para configurar rotas para o tráfego entre a sub-rede B e o gateway da Internet.

O assistente de roteamento do middlebox executa automaticamente as seguintes operações:

  • Cria as seguintes tabela de rotas:

    • Uma tabela de rotas para o gateway da Internet

    • Uma tabela de rotas para a sub-rede de destino

    • Uma tabela de rotas para a sub-rede do middlebox

  • Adiciona as rotas necessárias às novas tabelas de rotas, conforme descrito nas seções a seguir.

  • Desassocia as tabelas de rotas atuais associadas ao gateway da Internet, à sub-rede B e à sub-rede C.

  • Associa a tabela de rotas A ao gateway da Internet (a fonte no assistente de roteamento do middlebox), à tabela de rotas C (o middlebox no assistente de roteamento do middlebox) e à tabela de rotas B com a sub-rede B (o destino no assistente de roteamento do middlebox).

  • Cria uma tag que indica que ela foi criada pelo assistente de roteamento do middlebox e uma tag que indica a data de criação.

O assistente de roteamento do middlebox não modifica as tabelas de rotsa existentes. Ele cria novas tabelas de rotas e, em seguida, associa-as aos seus recursos de gateway e sub-rede. Se os recursos já estiverem explicitamente associados às tabelas de rotas existentes, as tabelas de rotas existentes serão primeiro desassociadas e, em seguida, as novas tabelas de rotas serão associadas aos seus recursos. Suas tabelas de rotas existentes não são excluídas.

Se você não usar o assistente de roteamento de middlebox, será necessário configurar manualmente e, em seguida, atribuir as tabelas de rota às sub-redes e ao gateway da Internet.

Roteamento de entrada para uma VPC

Tabela de rotas do gateway da Internet

Adicione as tabelas de rotas a seguir à tabela de rotas para o gateway da Internet.

Destination (Destino) Destino Finalidade
10.0.0.0/16 Local Rota local para IPv4
10.0.1.0/24 appliance-eni Rotear tráfego IPv4 destinado à sub-rede B para o middlebox
2001:db8:1234:1a00::/56 Local Rota local para IPv6
2001:db8:1234:1a00::/64 appliance-eni Rotear tráfego IPv6 destinado à sub-rede B para o middlebox

Há uma associação de borda entre o gateway da Internet e a VPC.

Quando você usa o assistente de roteamento de middlebox, as seguintes tags são associadas à tabela de rotas:

  • A chave é “Origin” e o valor é “Middlebox wizard”

  • A chave é “date_created” (data da criação) e o valor é a hora de criação (por exemplo, “2021-02-18T22:25:49.137Z”)

Tabela de rotas da sub-rede de destino

Adicione as seguintes rotas à tabela de rotas para a sub-rede de destino (sub-rede B no diagrama de exemplo).

Destination (Destino) Destino Finalidade
10.0.0.0/16 Local Rota local para IPv4
0.0.0.0/0 appliance-eni Rotear tráfego IPv4 destinado à Internet para o middlebox
2001:db8:1234:1a00::/56 Local Rota local para IPv6
::/0 appliance-eni Encaminhar o tráfego IPv6 destinado à Internet para o middlebox

Há uma associação de sub-rede com a sub-rede do middlebox.

Quando você usa o assistente de roteamento de middlebox, as seguintes tags são associadas à tabela de rotas:

  • A chave é “Origin” e o valor é “Middlebox wizard”

  • A chave é “date_created” (data da criação) e o valor é a hora de criação (por exemplo, “2021-02-18T22:25:49.137Z”)

Tabela de rotas da sub-rede do middlebox

Adicione as seguintes rotas à tabela de rotas para a sub-rede do middlebox (sub-rede C no diagrama de exemplo).

Destination (Destino) Destino Finalidade
10.0.0.0/16 Local Rota local para IPv4
0.0.0.0/0 igw-id Rotear o tráfego IPv4 para o gateway da Internet
2001:db8:1234:1a00::/56 Local Rota local para IPv6
::/0 eigw-id Encaminhar o tráfego IPv6 para o gateway da Internet somente de saída

Há uma associação de sub-rede com a sub-rede de destino.

Quando você usa o assistente de roteamento de middlebox, as seguintes tags são associadas à tabela de rotas:

  • A chave é “Origin” e o valor é “Middlebox wizard”

  • A chave é “date_created” (data da criação) e o valor é a hora de criação (por exemplo, “2021-02-18T22:25:49.137Z”)