Comprobación de origen/destino en Interfaces red de Instancias EC2 AWS

By miguelortega April 26, 2023, 8:26 p.m. aws aws amazon VPC

La comprobación de origen/destino es una opción que se encuentra en las interfaces de red de las instancias de Amazon Elastic Compute Cloud (EC2) en AWS. Esta opción se utiliza para comprobar si las reglas de seguridad de la instancia permiten el tráfico de entrada y salida.

La comprobación de origen/destino puede estar habilitada o deshabilitada en la interfaz de red de una instancia de EC2. Cuando está habilitada, la instancia comprueba que la dirección de origen y destino del tráfico de red cumple con las reglas de seguridad de la instancia.

Por ejemplo, si tienes una instancia de EC2 con una regla de seguridad que permite el tráfico HTTP entrante solo desde una dirección IP específica, la comprobación de origen/destino garantiza que solo el tráfico con una dirección IP coincidente se permita en la instancia. Si la comprobación de origen/destino está deshabilitada, todas las conexiones de entrada a la instancia son permitidas sin verificación adicional de las reglas de seguridad.

Aquí un ejemplo practico.

Objetivo: Alcanzar un red creada en un Nodo 1, desde el Nodo 2 mediante una ruta estática.

Escenario:

escenario-vpc-routes

Hay un VPC con una subred definida en la cual se crean 2 Instancias EC2 (Nodos)

Subred: 172.31.227.0/24

Nodo 1: (Server ubuntu) -IP Privada: 172.31.227.157

Nodo 2: (Servidor red - CHR Mikrotik) -IP Privada: 172.31.227.223 -Red creada: 192.168.20.0/24

El propósito es que el Nodo 1 pueda alcanzar todo el segundo de red 192.168.0/24 que se encuentra en el Nodo 2. Esto se puede resolver aplicando una lógica básica de redes, la cual seria la siguiente:

Nodo 1: - DST. Address: 192.168.0/24 - Gateway: 172.31.227.223

Sabiendo que el Nodo 1 es un servidor Ubuntu, podemos aplicar esta lógica de la siguiente manera. - Ejecutamos los siguiente:

sudo nano /etc/netplan/50-cloud-init.yaml image

  • Guardamos y ejecutamos lo siguiente para aplicamos cambios. sudo netplan apply

  • Verificamos que se agregado la ruta con el siguiente comando. route image

TEST Por último haremos ping a la red 192.168.20.1, sabemos que esta ip esta siendo ocupada por la interfaz donde esta creada la red 192.168.20.0/24 que es la red que queremos alcanzar. image

Nota:

Hay que recordar que entre instancias Nodo 1 y Nodo 2 si se pueden ver, es decir hay comunicación entre ambas instancias ya que están dentro de la misma subred de aws: 172.31.227.0/24 El Problema esta que en la instancia Nodo 2 hay otra red creada de forma personalizada 192.168.20.0/24, la cual por mas que se ha creado la ruta desde la instancia Nodo 1 - Hasta Nodo 2 hacia la red 192.168.20.0/24, no logramos tener comunicación. También el grupo de seguridad (Firewall) de ambas instancias esta permitido todo el trafico entrante y saliente en todos los puertos y protocolos, esto para descartar que se deba a esto.

Solución.

Paso 1 - Agregar ruta en la tabla enrutamiento del VPC.

Nos dirigimos a Tablas de Enrutamiento y seleccionamos la que esta ligada a nuestro VPC de nuestras instancias. 05

051

Paso 2 - Analizar ruta agregada.

Intentaremos hacer un análisis de origen y destino desde la consola AWS y ver que esta pasando de la ruta a la cual queremos alcanzar, la cual esta creada en la interfaz de red de la instancia Nodo 2 (CHR) Nos dirigimos a las Instancias => Seleccionar la instancia => Redes => Interfaces red

02 03

04

Y agregamos los parametros correspondientes a nuestro origen - destino Origen: 172.31.227.157 (IP privada del Nodo 1 - Server Ubuntu) Destino: 192.168.20.1 (Red creada en la interfaz del Nodo 2 - CHR) 06

Verificamos el análisis 07

Solución

Con base análisis que se realizo en el paso anterior, nos dice que debemos de deshabilitar la comprobación de origen o de destino Como se menciono al principio cuando esta habilitada se realiza otra verificación adicional de las reglas de seguridad (Firewall), es decir no permite realizar otro salto de red dentro de la interfaz de red de cada instancia.

Paso 1

Nos dirigimos a Interfaces de red, seleccionar la interfaz, en este caso Nodo 2 (CHR), como nos indico el análisis => Acciones => Cambiar comprobación origen/destino. 08

Paso 2

Nos saldrá la siguiente ventana, con eso solo debemos de deshabilitar, para que de este modo todas las conexiones de entrada a la instancia sean permitidas 09

Verificación

Volvemos a ejecutar el análisis de la ruta estatica.

011

Y como vemos, ahora si ya es posible acceder todo el segmento de red 192.168.20.0/24, desde la instancia Nodo 1, por medio de la ruta estática que se había agregado. 012

Nos regresamos por terminal a nuestra instancia Nodo 1 (server Ubuntu), e intentamos dar in ping a la red 192.168.20.1, para ver si podemos alcanzar la red creada desde la instancia Nodo 2 (CHR).

010

Y listo con esto logramos resolver este problema, de igual forma podemos volver analizar la ruta desde AWS, en este caso volver a analizar de nuevo la ruta ya creada anteriormente.