VPC con subredes privadas y públicas (NAT) - Amazon Virtual Private Cloud

VPC con subredes privadas y públicas (NAT)

La configuración de este escenario incluye una nube virtual privada (VPC) con una subred pública y una subred privada. Este escenario se recomienda si desea ejecutar una aplicación web pública y, a la vez, mantener los servidores back-end a los que no se puede obtener acceso de forma pública. Un ejemplo común es un sitio web multinivel, con los servidores web en una subred pública y los servidores de base de datos en una subred privada. Puede configurar la seguridad y el direccionamiento para que los servidores web se puedan comunicar con los servidores de base de datos.

Las instancias de la subred pública pueden enviar tráfico de salida directamente a Internet, mientras que las instancias en la subred privada no pueden. En cambio, las instancias de la subred privada pueden obtener acceso a Internet mediante una gateway de traducción de direcciones de red (NAT) que reside en la subred pública. Los servidores de base de datos pueden conectarse a Internet para las actualizaciones de software a través de la gateway NAT, pero Internet no puede establecer conexiones con los servidores de base de datos.

Si lo desea, este escenario también se puede configurar para IPv6: puede utilizar el asistente de VPC para crear una VPC y subredes con los bloques de CIDR IPv6 asociados. Las instancias lanzadas en las subredes podrán recibir direcciones IPv6 y comunicarse a través de IPv6. Las instancias de la subred privada pueden utilizar una gateway de Internet de solo salida para conectarse a Internet a través de IPv6, pero Internet no puede establecer conexiones con las instancias privadas a través de IPv6. Para obtener más información acerca de las direcciones IPv4 e IPv6, consulte Direcciones IP en su VPC.

Para obtener información acerca de cómo administrar el software de instancias EC2, consulte Administración de software en la instancia de Linux en la Guía del usuario de Amazon EC2 para instancias de Linux.

Información general

El siguiente diagrama muestra los componentes clave de la configuración de este escenario.


				Diagrama del escenario 2: VPC con subredes públicas y privadas

La configuración de este escenario incluye lo siguiente:

  • Una VPC con bloque de CIDR IPv4 de tamaño /16 (ejemplo: 10.0.0.0/16). Esto proporciona 65 536 direcciones IPv4 privadas.

  • Una subred pública con bloque de CIDR IPv4 de tamaño /24 (ejemplo: 10.0.0.0/24). Esto proporciona 256 direcciones IPv4 privadas. Una subred pública es una subred asociada a la tabla de ruteo con ruta a la gateway de internet.

  • Una subred privada con bloque de CIDR IPv4 de tamaño /24 (ejemplo: 10.0.1.0/24). Esto proporciona 256 direcciones IPv4 privadas.

  • Un gateway de Internet. Esto conecta la VPC a Internet y a otros servicios de AWS.

  • Instancias con direcciones IPv4 privadas en el rango de la subred (ejemplos: 10.0.0.5, 10.0.1.5). Esto les permite comunicarse entre sí y con otras instancias en la VPC.

  • Instancias en la subred pública con direcciones IPv4 elásticas (por ejemplo: 198.51.100.1), que son direcciones IPv4 públicas que lo habilitan para llegar a ellas desde Internet. Las instancias pueden tener direcciones IP públicas asignadas en el lanzamiento en lugar de direcciones IP elásticas. Las instancias de la subred privada son servidores backend que no necesitan aceptar el tráfico entrante de Internet y, por lo tanto, no tienen direcciones IP públicas; sin embargo, pueden enviar solicitudes a Internet mediante la gateway NAT (consulte la siguiente viñeta).

  • Una gateway NAT con su propia dirección IPv4 elástica. Las instancias de la subred privada pueden enviar solicitudes a Internet mediante la gateway NAT través de IPv4 (por ejemplo, para actualizaciones de software).

  • Una tabla de ruteo personalizada asociada a la subred pública. Esta tabla de enrutamiento contiene una entrada que lo habilita para que las instancias de la subred se comuniquen con otras instancias de la VPC a través de IPv4 y una entrada que permite que las instancias de la subred se comuniquen directamente con Internet a través de IPv4.

  • La tabla de ruteo principal asociada a una subred privada. La tabla de enrutamiento contiene una entrada que lo habilita para que las instancias de la subred se comuniquen con otras instancias de la VPC a través de IPv4 y una entrada que permite que las instancias de la subred se comuniquen con Internet mediante la gateway NAT a través de IPv4.

Para obtener más información acerca de las subredes, consulte VPC y subredes. Para obtener más información acerca de las gateways de Internet, consulte Puertos de enlace a internet. Para obtener más información acerca de las gateways NAT, consulte Gateways NAT.

Información general de IPv6

Opcionalmente, puede habilitar IPv6 para este escenario. Además de los componentes mostrados arriba, la configuración incluye lo siguiente:

  • Un bloque de CIDR IPv6 de tamaño /56 asociado a la VPC (por ejemplo: 2001:db8:1234:1a00::/56). Amazon asigna automáticamente el CIDR; no podrá elegir el rango por sí mismo.

  • Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred pública (por ejemplo: 2001:db8:1234:1a00::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No es posible elegir el tamaño del bloque de CIDR IPv6 de la VPC.

  • Un bloque de CIDR IPv6 de tamaño /64 asociado a la subred privada (por ejemplo: 2001:db8:1234:1a01::/64). Puede elegir el rango de su subred en el rango asignado a la VPC. No es posible elegir el tamaño del bloque de CIDR IPv6 de la subred.

  • Las direcciones IPv6 asignadas a las instancias desde el rango de subred (ejemplo: 2001:db8:1234:1a00::1a).

  • Una gateway de Internet de solo salida. Utilice la gateway a fin de gestionar solicitudes a Internet desde instancias de la subred privada a través de IPv6 (por ejemplo, para actualizaciones de software). Se requiere una gateway de Internet de solo salida si desea que las instancias de la subred privada puedan iniciar la comunicación con Internet a través de IPv6. Para obtener más información, consulte Gateways de Internet de solo salida.

  • Entradas de la tabla personalizada que permiten a las instancias de la subred pública utilizar IPv6 para comunicarse entre si y directamente a través de internet.

  • Las entradas de tabla de enrutamiento en la tabla de enrutamiento principal que permiten que las instancias de la subred privada utilicen IPv6 con el fin de comunicarse entre sí, así como para comunicarse con Internet a través de una gateway de Internet de solo salida.


					VPC con IPv6 activado con una subred pública y una privada

Los servidores web de la subred pública tienen las siguientes direcciones.

Servidor Dirección IPv4 Dirección IP elástica Dirección IPv6

1

10.0.0.5

198.51.100.1 2001:db8:1234:1a00::1a

2

10.0.0.6

198.51.100.2 2001:db8:1234:1a00::2b
3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

Los servidores de base de datos de la subred privada tienen las siguientes direcciones.

Servidor Dirección IPv4 Dirección IPv6

1

10.0.1.5

2001:db8:1234:1a01::1a

2

10.0.1.6

2001:db8:1234:1a01::2b
3 10.0.1.7 2001:db8:1234:1a01::3c

Direccionamiento

En este escenario, el asistente de VPC actualiza la tabla de ruteo principal utilizada con la subred privada, y crea una tabla de ruteo personalizada y la asocia a la subred pública.

En este escenario, todo el tráfico de cada subred vinculado a AWS (por ejemplo, con los puntos de enlace de Amazon EC2 o Amazon S3) pasa a través de la gateway de Internet. Los servidores de base de datos de la subred privada no pueden recibir tráfico de Internet directamente porque no tienen direcciones IP elásticas. Sin embargo, los servidores de base de datos pueden enviar y recibir tráfico de Internet a través del dispositivo NAT en la subred pública.

Las subredes adicionales que cree utilizarán la tabla de ruteo principal de forma predeterminada, lo que significa que son subredes privadas de forma predeterminada. Si desea hacer una subred pública, siempre puede cambiar la tabla de ruteo con la que esté asociada.

Las siguientes tablas describen las tablas de ruteo para este escenario.

Tabla de enrutamiento principal

La tabla de enrutamiento principal está asociada a una subred privada. La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entrada permite a las instancias de la VPC comunicarse entre sí. La segunda entrada envía el resto del tráfico de la subred a la gateway NAT (por ejemplo, nat-12345678901234567).

Destino Objetivo

10.0.0.0/16

local

0.0.0.0/0

nat-gateway-id

Tabla de enrutamiento personalizada

La tabla de enrutamiento personalizada está asociada a la subred pública. La primera fila es la entrada predeterminada para el direccionamiento local de la VPC. Esta entrada permite a las instancias de esta VPC comunicarse entre sí. La segunda entrada direcciona el resto del tráfico de la subred a Internet a través de la gateway de Internet (por ejemplo, igw-1a2b3d4d).

Destino Objetivo

10.0.0.0/16

local

0.0.0.0/0

igw-id

Direccionamiento de IPv6

Si asocia un bloque de CIDR IPv6 con su VPC y sus subredes, sus tablas de ruteo deben incluir rutas separadas para el tráfico IPv6. Las tablas siguientes muestran las tablas de ruteo personalizadas para este escenario si elige habilitar la comunicación IPv6 en su VPC.

Tabla de enrutamiento principal

La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento local en la VPC a través de IPv6. La cuarta entrada direcciona todo el resto del tráfico de la subred IPv6 a la gateway de Internet de solo salida.

Destino Objetivo

10.0.0.0/16

local

2001:db8:1234:1a00::/56

local

0.0.0.0/0

nat-gateway-id

::/0

egress-only-igw-id

Tabla de enrutamiento personalizada

La segunda fila es la ruta predeterminada que se añade automáticamente para el direccionamiento local en la VPC a través de IPv6. La cuarta entrada direcciona todo el resto del tráfico de la subred IPv6 a la gateway de internet.

Destino Objetivo

10.0.0.0/16

local

2001:db8:1234:1a00::/56

local

0.0.0.0/0

igw-id

::/0

igw-id

Seguridad

AWS cuenta con dos características que puede usar para aumentar la seguridad de la VPC: los grupos de seguridad y las ACL de red. Los grupos de seguridad controlan el tráfico de entrada y salida de las instancias, mientras que las ACL de red controlan el tráfico de entrada y salida de las subredes. En la mayoría de los casos, los grupos de seguridad se ajustarán a sus necesidades. No obstante, puede usar también las ACL de red si desea agregar un nivel de seguridad adicional en la VPC. Para obtener más información, consulte Privacidad del tráfico entre redes en Amazon VPC.

Para el escenario 2, utilizará los grupos de seguridad, pero no las ACL de red. Si desea utilizar una ACL de red, consulte Reglas ACL de red recomendadas para una VPC con subredes públicas y privadas (NAT).

La VPC incluye un grupo de seguridad predeterminado. Una instancia que se lanza en la VPC se asocia automáticamente al grupo de seguridad predeterminado si no especifica ningún grupo de seguridad predeterminado durante el lanzamiento. Para este escenario, recomendamos crear los siguientes grupos de seguridad en lugar de utilizar el grupo de seguridad predeterminado:

  • WebServerSG: especifique este grupo de seguridad al lanzar los servidores web en la subred pública.

  • DBServerSG: especifique este grupo de seguridad al lanzar los servidores de base de datos en la subred privada.

Las instancias asignadas a un grupo de seguridad pueden estar en distintas subredes. Sin embargo, en este escenario, cada grupo de seguridad corresponde al tipo de función que desempeña una instancia, y cada función requiere que una instancia esté en una subred determinada. Por lo tanto, en este escenario, todas las instancias asignadas a un grupo de seguridad estarán en la misma subred.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad WebServerSG, que permiten a los servidores web recibir el tráfico de internet, así como el tráfico SSH y RDP procedente de su red. Los servidores web también pueden iniciar solicitudes de lectura y escritura en los servidores de bases de datos de la subred privada, así como enviar tráfico a Internet; por ejemplo, para obtener actualizaciones de software. Puesto que el servidor web no inicia ninguna otra comunicación saliente, se ha quitado la regla saliente predeterminada.

nota

Estas recomendaciones incluyen tanto acceso a SSH como a RDP, así como acceso a Microsoft SQL Server y a MySQL. En su caso, puede que solo necesite reglas para Linux (SSH y MySQL) o Windows (RDP y Microsoft SQL Server).

Entrada
Fuente Protocolo Rango de puerto Comentarios

0.0.0.0/0

TCP

80

Permite el acceso HTTP entrante a los servidores web desde cualquier dirección IPv4.

0.0.0.0/0

TCP

443

Permite el acceso HTTPS entrante a los servidores web desde cualquier dirección IPv4.

Rango de direcciones IPv4 públicas de su red doméstica

TCP

22

Permite el acceso SSH entrante a las instancias de Linux desde la red doméstica (a través de la gateway de Internet). Puede obtener la dirección IPv4 pública de su equipo local usando un servicio como, por ejemplo, http://checkip.amazonaws.com o https://checkip.amazonaws.com. Si se conecta a través de un ISP o protegido por su firewall sin una dirección IP estática, deberá encontrar el rango de direcciones IP utilizadas por los equipos cliente.

Rango de direcciones IPv4 públicas de su red doméstica

TCP

3389

Permite el acceso RDP entrante a las instancias de Windows desde la red doméstica (a través de la gateway de Internet).

Salida

Destino Protocolo Rango de puerto Comentarios

ID del grupo de seguridad DBServerSG

TCP

1433

Permite el acceso saliente de Microsoft SQL Server a los servidores de base de datos asignados al grupo de seguridad DBServerSG.

ID del grupo de seguridad DBServerSG

TCP

3306

Permite el acceso saliente de MySQL a los servidores de base de datos asignados al grupo de seguridad DBServerSG.

0.0.0.0/0

TCP

80

Permite el acceso HTTP saliente a cualquier dirección IPv4.

0.0.0.0/0

TCP

443

Permite el acceso HTTPS saliente a cualquier dirección IPv4.

La siguiente tabla describe las reglas recomendadas para el grupo de seguridad DBServerSG, que permiten las solicitudes de las bases de datos de lectura o escritura procedentes de los servidores web. Los servidores de base de datos también pueden iniciar el tráfico vinculado a Internet (la tabla de enrutamiento envía ese tráfico a la gateway NAT, que lo reenvía a Internet a través de la gateway de Internet).

Entrada
Fuente Protocolo Rango de puerto Comentarios

ID del grupo de seguridad WebServerSG

TCP

1433

Permite el acceso entrante de Microsoft SQL Server desde los servidores web asociados al grupo de seguridad WebServerSG.

ID del grupo de seguridad WebServerSG

TCP

3306

Permite el acceso entrante del servidor MySQL desde los servidores web asociados al grupo de seguridad WebServerSG.

Salida

Destino Protocolo Rango de puerto Comentarios

0.0.0.0/0

TCP

80

Permite el acceso saliente de HTTP a Internet a través de IPv4 (por ejemplo, para actualizaciones de software).

0.0.0.0/0

TCP

443

Permite el acceso saliente de HTTPS a Internet a través de IPv4 (por ejemplo, para actualizaciones de software).

(Opcional) El grupo de seguridad predeterminado de una VPC tiene reglas que permiten, de forma automática, que las instancias asignadas se comuniquen entre sí. Para permitir ese tipo de comunicación para un grupo de seguridad personalizado, debe añadir las siguientes reglas:

Entrada
Fuente Protocolo Rango de puerto Comentarios

El ID del grupo de seguridad

Todos

Todos

Permite el tráfico entrante desde otras instancias asignadas a este grupo de seguridad.

Salida
Destino Protocolo Rango de puerto Comentarios
El ID del grupo de seguridad Todos Todos Permite el tráfico saliente a otras instancias asignadas a este grupo de seguridad.

(Opcional) Si lanza un host bastión en su subred pública para utilizarlo como proxy para tráfico SSH o RDP desde su red doméstica a su subred privada, añada una regla al grupo de seguridad DBServerSG que permita tráfico SSH o RDP de entrada desde la instancia bastión o su grupo de seguridad asociado.

Reglas de grupo de seguridad para IPv6

Si asocia un bloque de CIDR IPv6 a su VPC y sus subredes, debe añadir reglas separadas a sus grupos de seguridad WebServerSG y DBServerSG para controlar el tráfico IPv6 entrante y saliente de sus instancias. En este escenario, los servidores web podrán recibir todo el tráfico de internet a través de IPv6, así como el tráfico SSH o RDP de su red local a través de IPv6. Asimismo, pueden iniciar tráfico IPv6 saliente a internet. Los servidores de base de datos pueden iniciar tráfico IPv6 saliente a Internet.

A continuación se detallan las reglas específicas de IPv6 para el grupo de seguridad WebServerSG (adicionales a las reglas descritas anteriormente).

Entrada
Fuente Protocolo Rango de puerto Comentarios

::/0

TCP

80

Permite el acceso HTTP entrante a los servidores web desde cualquier dirección IPv6.

::/0

TCP

443

Permite el acceso HTTPS entrante a los servidores web desde cualquier dirección IPv6.

Rango de direcciones IPv6 de su red

TCP

22

(Instancias de Linux) Permite el acceso SSH entrante desde su red a través de IPv6.

Rango de direcciones IPv6 de su red

TCP

3389

(Instancias de Windows) Permite el acceso RDP entrante desde su red a través de IPv6.

Salida
Destino Protocolo Rango de puerto Comentarios
::/0 TCP HTTP Permite el acceso HTTP saliente a cualquier dirección IPv6.
::/0 TCP HTTPS Permite el acceso HTTPS saliente a cualquier dirección IPv6.

A continuación se detallan las reglas específicas de IPv6 para el grupo de seguridad DBServerSG (adicionales a las reglas descritas anteriormente).

Salida

Destino Protocolo Rango de puerto Comentarios

::/0

TCP

80

Permite el acceso HTTP saliente a cualquier dirección IPv6.

::/0

TCP

443

Permite el acceso HTTPS saliente a cualquier dirección IPv6.

Implementar el escenario 2

Puede utilizar el asistente de VPC para crear la VPC, las subredes, la gateway NAT y, opcionalmente, una gateway de Internet de solo salida. Debe especificar una dirección IP elástica para su gateway NAT; si no tiene una, debe asignar primero una a su cuenta. Si desea utilizar una dirección IP elástica existente, asegúrese de que no esté actualmente asociada a otra instancia o interfaz de red. La gateway NAT se creará automáticamente en la subred pública de su VPC.

Reglas ACL de red recomendadas para una VPC con subredes públicas y privadas (NAT)

Para este escenario, dispondrá de una ACL de red para la subred pública y una ACL de red distinta para la subred privada. La tabla siguiente muestra las reglas que recomendamos para cada ACL. Las reglas bloquean todo el tráfico excepto el explícitamente necesario. Estas reglas imitan en gran medida las reglas del grupo de seguridad para el escenario.

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

PERMITIR

Permite el tráfico HTTP entrante de cualquier dirección IPv4.

110

0.0.0.0/0

TCP

443

PERMITIR

Permite el tráfico HTTPS entrante de cualquier dirección IPv4.

120

Rango de direcciones IP públicas de la red doméstica

TCP

22

PERMITIR

Permite el tráfico SSH entrante de su red doméstica (a través de la gateway de Internet).

130

Rango de direcciones IP públicas de la red doméstica

TCP

3389

PERMITIR

Permite el tráfico RDP entrante de su red doméstica (a través de la gateway de Internet).

140

0.0.0.0/0

TCP

1024 - 65535

PERMITIR

Permite el tráfico de retorno entrante de hosts de Internet que responden a las solicitudes que se originan en la subred.

Este rango se proporciona solo como ejemplo. Para obtener información acerca de la elección de los puertos efímeros correctos para su configuración, consulte Puertos efímeros.

*

0.0.0.0/0

Todos

Todos

DENEGAR

Deniega todo el tráfico IPv4 entrante no controlado por ninguna regla precedente (no modificable).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

PERMITIR

Permite el tráfico HTTP saliente de la subred a Internet.

110

0.0.0.0/0

TCP

443

PERMITIR

Permite el tráfico HTTPS saliente de la subred a Internet.

120

10.0.1.0/24

TCP

1433

PERMITIR

Permite el acceso de MS SQL saliente a los servidores de bases de datos de la subred privada.

Este número de puerto se proporciona solo como ejemplo. Otros ejemplos incluyen el número de puerto 3306 para el acceso de MySQL/Aurora, el número 5432 para el acceso de PostgreSQL, el número 5439 para el acceso de Amazon Redshift o el número 1521 para el acceso de Oracle.

140

0.0.0.0/0

TCP

32768-65535

PERMITIR

Permite las respuestas salientes a clientes de Internet (por ejemplo, al ofrecer páginas web a usuarios que visitan los servidores web de la subred).

Este rango se proporciona solo como ejemplo. Para obtener información acerca de la elección de los puertos efímeros correctos para su configuración, consulte Puertos efímeros.

150

10.0.1.0/24

TCP

22

PERMITIR

Permite el acceso SSH saliente a las instancias de su subred privada (desde un bastión SSH, si es su caso).

*

0.0.0.0/0

Todos

Todos

DENEGAR

Deniega todo el tráfico IPv4 saliente no controlado por ninguna regla precedente (no modificable).

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

10.0.0.0/24

TCP

1433

PERMITIR

Permite a los servidores web de la subred pública realizar operaciones de lectura y escritura en servidores de MS SQL de la subred privada.

Este número de puerto se proporciona solo como ejemplo. Otros ejemplos incluyen el número de puerto 3306 para el acceso de MySQL/Aurora, el número 5432 para el acceso de PostgreSQL, el número 5439 para el acceso de Amazon Redshift o el número 1521 para el acceso de Oracle.

120

10.0.0.0/24

TCP

22

PERMITIR

Permite el tráfico SSH entrante de un bastión SSH en la subred pública (si es su caso).

130

10.0.0.0/24

TCP

3389

PERMITIR

Permite el tráfico RDP entrante de una gateway de Microsoft Terminal Services en la subred pública.

140

0.0.0.0/0

TCP

1024 - 65535

PERMITIR

Permite el tráfico de retorno entrante del dispositivo NAT de la subred pública de solicitudes que se originan en la subred privada.

Para obtener información acerca de la especificación de los puertos efímeros correctos, consulte la nota importante que se proporciona al principio de este tema.

*

0.0.0.0/0

Todos

Todos

DENEGAR

Deniega todo el tráfico IPv4 entrante no controlado por ninguna regla precedente (no modificable).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

PERMITIR

Permite el tráfico HTTP saliente de la subred a Internet.

110

0.0.0.0/0

TCP

443

PERMITIR

Permite el tráfico HTTPS saliente de la subred a Internet.

120

10.0.0.0/24

TCP

32768-65535

PERMITIR

Permite las respuestas salientes a la subred pública (por ejemplo, respuestas a servidores web de la subred pública que se comunican con servidores de bases de datos de la subred privada).

Este rango se proporciona solo como ejemplo. Para obtener información acerca de la elección de los puertos efímeros correctos para su configuración, consulte Puertos efímeros.

*

0.0.0.0/0

Todos

Todos

DENEGAR

Deniega todo el tráfico IPv4 saliente no controlado por ninguna regla precedente (no modificable).

Reglas de ACL de red recomendadas para IPv6

Si implementó la compatibilidad con el tráfico IPv6 y creó una VPC y subredes con bloques de CIDR IPv6 asociados, deberá añadir reglas separadas a las ACL de red para controlar el tráfico IPv6 entrante y saliente.

A continuación se detallan las reglas específicas de tráfico IPv6 para las ACL de red (adicionales a las reglas descritas anteriormente).

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

PERMITIR

Permite el tráfico HTTP entrante de cualquier dirección IPv6.

160

::/0

TCP

443

PERMITIR

Permite el tráfico HTTPS entrante de cualquier dirección IPv6.

170

Rango de direcciones IPv6 de la red doméstica

TCP

22

PERMITIR

Permite el tráfico SSH entrante a través de IPv6 de su red doméstica (a través de la gateway de Internet).

180

Rango de direcciones IPv6 de la red doméstica

TCP

3389

PERMITIR

Permite el tráfico RDP entrante a través de IPv6 de su red doméstica (a través de la gateway de Internet).

190

::/0

TCP

1024 - 65535

PERMITIR

Permite el tráfico de retorno entrante de hosts de Internet que responden a las solicitudes que se originan en la subred.

Este rango se proporciona solo como ejemplo. Para obtener información acerca de la elección de los puertos efímeros correctos para su configuración, consulte Puertos efímeros.

*

::/0

Todos

Todos

DENEGAR

Deniega todo el tráfico IPv6 entrante no controlado por ninguna regla precedente (no modificable).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

160

::/0

TCP

80

PERMITIR

Permite el tráfico HTTP saliente de la subred a Internet.

170

::/0

TCP

443

PERMITIR

Permite el tráfico HTTPS saliente de la subred a Internet.

180

2001:db8:1234:1a01::/64

TCP

1433

PERMITIR

Permite el acceso de MS SQL saliente a los servidores de bases de datos de la subred privada.

Este número de puerto se proporciona solo como ejemplo. Otros ejemplos incluyen el número de puerto 3306 para el acceso de MySQL/Aurora, el número 5432 para el acceso de PostgreSQL, el número 5439 para el acceso de Amazon Redshift o el número 1521 para el acceso de Oracle.

200

::/0

TCP

32768-65535

PERMITIR

Permite las respuestas salientes a clientes de Internet (por ejemplo, al ofrecer páginas web a usuarios que visitan los servidores web de la subred).

Este rango se proporciona solo como ejemplo. Para obtener información acerca de la elección de los puertos efímeros correctos para su configuración, consulte Puertos efímeros.

210

2001:db8:1234:1a01::/64

TCP

22

PERMITIR

Permite el acceso SSH saliente a las instancias de su subred privada (desde un bastión SSH, si es su caso).

*

::/0

Todos

Todos

DENEGAR

Deniega todo el tráfico IPv6 saliente no controlado por ninguna regla precedente (no modificable).

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

2001:db8:1234:1a00::/64

TCP

1433

PERMITIR

Permite a los servidores web de la subred pública realizar operaciones de lectura y escritura en servidores de MS SQL de la subred privada.

Este número de puerto se proporciona solo como ejemplo. Otros ejemplos incluyen el número de puerto 3306 para el acceso de MySQL/Aurora, el número 5432 para el acceso de PostgreSQL, el número 5439 para el acceso de Amazon Redshift o el número 1521 para el acceso de Oracle.

170

2001:db8:1234:1a00::/64

TCP

22

PERMITIR

Permite el tráfico SSH entrante de un bastión SSH en la subred pública (si procede).

180

2001:db8:1234:1a00::/64

TCP

3389

PERMITIR

Permite el tráfico RDP entrante de una gateway de Microsoft Terminal Services en la subred pública, si procede.

190

::/0

TCP

1024 - 65535

PERMITIR

Permite el tráfico de retorno entrante de la gateway de Internet de solo salida de solicitudes que se originan en la subred privada.

Este rango se proporciona solo como ejemplo. Para obtener información acerca de la elección de los puertos efímeros correctos para su configuración, consulte Puertos efímeros.

*

::/0

Todos

Todos

DENEGAR

Deniega todo el tráfico IPv6 entrante no controlado por ninguna regla precedente (no modificable).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

130

::/0

TCP

80

PERMITIR

Permite el tráfico HTTP saliente de la subred a Internet.

140

::/0

TCP

443

PERMITIR

Permite el tráfico HTTPS saliente de la subred a Internet.

150

2001:db8:1234:1a00::/64

TCP

32768-65535

PERMITIR

Permite las respuestas salientes a la subred pública (por ejemplo, respuestas a servidores web de la subred pública que se comunican con servidores de bases de datos de la subred privada).

Este rango se proporciona solo como ejemplo. Para obtener información acerca de la elección de los puertos efímeros correctos para su configuración, consulte Puertos efímeros.

*

::/0

Todos

Todos

DENEGAR

Deniega todo el tráfico IPv6 saliente no controlado por ninguna regla precedente (no modificable).