🚴🏻‍♀️

【AWS Network Firewall】AWSの基礎を学ぼう おさらいのリトライ

2021/06/12に公開

概要

「AWS エバンジェリストシリーズ AWSの基礎を学ぼう」で”AWS Network Firewall のおさらい”でアウトプットをしたけど途中で頓挫したので、リトライ記事です。
頓挫記事はこちら

頓挫したこと と 理由

頓挫したこと

AWS Network Firewall配下にあるEC2にアクセスすることが出来ない。

理由

インターネットゲートウェイにルートテーブルをアタッチしてルーティング設定していなかった為

赤枠を付けていなかった為ですね

Network Firewallを経由しているか確認

PASSルールの場合

今はNetwork FirewallのルールをPASSにしているのでApache画面が見えています。

DROPルールの場合

ではDropにしたら見れなくなるのか?を試します。

見れなくなりました。NetWorkFirewallでDropされていることが確認できました。

改めてルートテーブルの勉強

https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Route_Tables.html

例1

送信先 ターゲット
0.0.0.0/0 igw-12345678901234567
  • 0.0.0.0/0は全てのIPv4を意味し、igw-12345678901234567へルーティングされる

例2

送信先 ターゲット
10.0.0.0/16 Local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567
  • 10.0.0.0/16に留まるトラフィックはLocalルートでVPC内でルーティングされる
  • ピア接続(pcx-11223344556677889)を刺す172.31.0.0/16のルーティングがある
  • 上記以外は、igw-12345678901234567へルーティングされる

例3 ゲートウェイルートテーブル

ルートテーブルは、インターネットゲートウェイまたは仮想プライベートゲートウェイに関連付けることができます。ルートテーブルがゲートウェイに関連付けられている場合、ゲートウェイルートテーブルと呼ばれます。ゲートウェイルートテーブルを作成して、VPC に入るトラフィックのルーティングパスを細かく制御できます。たとえば、インターネットゲートウェイを介して VPC に入るトラフィックを VPC 内のミドルボックスアプライアンス (セキュリティアプライアンスなど) にリダイレクトして、そのトラフィックをインターセプトできます。

送信先 ターゲット
10.0.0.0/16 Local
10.0.1.0/24 NW-FW EndPoint
  • 10.0.0.0/16に留まるトラフィックはLocalルートでVPC内でルーティングされる
  • 10.0.1.0/24(PrivateSubnet)へのトラフィックをNW-FW EndPointでインターセプトする

感想

NWFWというよりルートテーブルの話が中身で申し訳ないですが、個人的にはゲートウェイルートテーブルという存在を認識していなかったので、勉強になりました。

Discussion