-1

假设我们有一个基本架构,其中我们有带有两个子网一个私有和一个公共)的 VPC。私有子网通过位于公共子网中的NAT 网关连接到 Internet 。(如下图所示

现在假设我们在公共子网中实现了一个网络 ACL 。拒绝其中的某些端口是否明智?

我问的原因是因为我了解到 NAT 使用端口号将许多私有 IP 连接到单个公共 IP(在我们的例子中是弹性 IP,它连接到 NAT),所以 NACL 不会产生问题。

这是我学到的关于 Nat 函数的知识 - https://www.youtube.com/watch?v=01ajHxPLxAw

在此处输入图像描述

4

1 回答 1

0

是的,我们可以使用 NACL,但我们需要注意它不会干扰 NAT 端口号。如果 NACL 配置不正确,它不仅是 NAT 网关,其他资源也可能会出现问题。

Nat 使用端口号 - 1024-65535。

来源 - https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-ephemeral-ports

于 2022-02-10T02:37:16.920 回答