VPC com sub-redes públicas e privadas (NAT) - Amazon Virtual Private Cloud

VPC com sub-redes públicas e privadas (NAT)

A configuração desse cenário inclui uma virtual private cloud (VPC) com uma sub-rede pública e uma sub-rede privada. Recomendamos este cenário se você quiser executar um aplicativo web voltado para o público e ao mesmo tempo manter servidores back-end sem acesso público. Um exemplo comum é um site de várias camadas, com servidores web em uma sub-rede pública e servidores de banco de dados em uma sub-rede privada. Você pode configurar segurança e roteamento para que os servidores web comuniquem-se com os servidores de banco de dados.

As instâncias na sub-rede pública podem enviar tráfego de saída diretamente para a Internet, ao passo que as instâncias na sub-rede privada não podem. Em vez disso, as instâncias da sub-rede privada podem acessar a Internet usando um gateway de conversão de endereços de rede (NAT) que resida na sub-rede pública. Os servidores de banco de dados podem se conectar à Internet para atualizações de software usando gateway NAT, mas a Internet não pode estabelecer conexões com os servidores de banco de dados.

nota

Além disso, você pode usar o assistente de VPC para configurar uma VPC com uma instância NAT; porém, é recomendável usar um gateway NAT. Para obter mais informações, consulte Gateways NAT.

Além disso, este cenário pode ser opcionalmente configurado para IPv6 — você pode usar o assistente de VPC para criar uma VPC e sub-redes com blocos CIDR IPv6 associados. as instâncias executadas em sub-redes podem receber endereços IPv6 e se comunicar usando IPv6. As instâncias na sub-rede privada podem usar um Internet Gateway apenas de saída para se conectar à Internet por IPv6, mas a Internet não pode estabelecer conexões com as instâncias privadas por IPv6. Para obter mais informações sobre endereçamento IPv4 e IPv6, consulte Endereçamento IP na sua VPC.

Para obter informações sobre como gerenciar o software da instância do EC2, consulte Como gerenciar software na sua instância do Linux no Guia do usuário do Amazon EC2 para instâncias do Linux.

Visão geral

O diagrama a seguir mostra os principais componentes da configuração deste cenário.


				Diagrama para o cenário 2: VPC com sub-redes pública e privada

A configuração deste cenário inclui o seguinte:

  • VPC com bloco CIDR IPv4 tamanho /16 (exemplo: 10.0.0.0/16). Nesse caso, são fornecidos 65.536 endereços IPv4.

  • Sub-rede pública com bloco CIDR IPv4 tamanho /24 (exemplo: 10.0.0.0/24). Nesse caso, são fornecidos 256 endereços IPv4. Sub-rede pública é uma sub-rede associada a uma tabela de rotas que contém uma rota para um Internet Gateway.

  • Sub-rede privada com bloco CIDR IPv4 tamanho /24 (exemplo: 10.0.1.0/24). Nesse caso, são fornecidos 256 endereços IPv4.

  • Um Internet Gateway. Desse modo a VPC é conectada à Internet e a outros serviços da AWS.

  • Instâncias com endereços IPv4 privados no intervalo da sub-rede (exemplos: 10.0.0.5, 10.0.1.5). Isso permite que elas se comuniquem entre si e com outras instâncias na VPC.

  • Instâncias na sub-rede pública com endereços IPv4 elásticos (exemplo: 198.51.100.1), os quais são endereços IPv4 públicos que permitem que elas sejam acessadas pela Internet. Instâncias que têm endereços IP públicos atribuídos na execução, em vez de endereços IP elásticos. As instâncias na sub-rede privada são servidores back-end que não precisam aceitar tráfego de entrada da Internet e por isso não têm endereços IP públicos; entretanto, elas podem enviar solicitações para a Internet usando o gateway NAT (consulte o próximo item).

  • Gateway NAT com seu próprio endereço IPv4 elástico. As instâncias na sub-rede privada podem enviar solicitações para a Internet por meio do gateway NAT sobre IPv4 (por exemplo, para atualizações de software).

  • Uma tabela de rotas personalizada associada à sub-rede pública. Essa tabela de rotas contém uma entrada que permite que as instâncias da sub-rede comuniquem-se com outras instâncias na VPC por IPv4 e uma entrada que permite que as instâncias da sub-rede comuniquem-se diretamente com a Internet por IPv4.

  • Tabela de rotas principal associada à sub-rede privada. Essa tabela de rotas contém uma entrada que permite que as instâncias da sub-rede comuniquem-se com outras instâncias na VPC por IPv4 e uma entrada que permite que as instâncias da sub-rede comuniquem-se diretamente com a Internet por meio do gateway NAT e por IPv4.

Para obter mais informações sobre sub-redes, consulte VPCs e sub-redes. Para obter mais informações sobre gateways da Internet, consulte Gateways da Internet. Para obter mais informações sobre gateways NAT;, consulte Gateways NAT.

Visão geral de IPv6

Opcionalmente, você pode ativar o IPv6 para este cenário. Além dos componentes listados anteriormente, a configuração inclui o seguinte:

  • Um bloco CIDR IPv6 tamanho /56 associado à VPC (exemplo: 2001:db8:1234:1a00::/56). A Amazon atribui automaticamente o CIDR; você não pode escolher o intervalo.

  • Um bloco CIDR IPv6 tamanho /64 associado a uma sub-rede pública (exemplo: 2001:db8:1234:1a00::/64). Você pode escolher o intervalo para sua sub-rede com base no intervalo alocado à VPC. Você não pode escolher o tamanho do bloco CIDR IPv6 da VPC.

  • Bloco CIDR IPv6 tamanho /64 associado a uma sub-rede privada (exemplo: 2001:db8:1234:1a01::/64). Você pode escolher o intervalo para sua sub-rede com base no intervalo alocado à VPC. Você não pode escolher o tamanho do bloco CIDR IPv6 da sub-rede.

  • Endereços IPv6 atribuídos às instâncias no intervalo da sub-rede (exemplo: 2001:db8:1234:1a00::1a).

  • Um Internet Gateway apenas de saída. Possibilita que as instâncias na sub-rede privada enviem solicitações para a Internet por IPv6 (por exemplo, para atualizações de software). Será necessário usar um Internet Gateway apenas de saída se desejar que as instâncias na sub-rede privada estabeleçam comunicação com a Internet por IPv6. Para obter mais informações, consulte Gateways da Internet apenas de saída.

  • Entradas na tabela de rotas personalizada que permitem que as instâncias na sub-rede pública usem IPv6 para se comunicarem entre si e diretamente na Internet.

  • Entradas de rotas na tabela de rotas principal que permite que as instâncias na sub-rede privada usem IPv6 para se comunicar entre si e para se comunicar com a Internet por meio de Internet Gateway apenas de saída.


					VPC habilitada para IPv6 com sub-rede pública e privada

Roteamento

Neste cenário, o assistente de VPC atualiza a tabela de rotas principal usada na sub-rede privada e cria uma tabela de rotas personalizada e a associa à sub-rede pública.

Neste cenário, todos os tráfegos provenientes de cada sub-rede vinculada à AWS (por exemplo, aos endpoints Amazon EC2 ou Amazon S3) passam pelo Internet Gateway. Os servidores de banco de dados na sub-rede privada não podem receber tráfego diretamente da Internet porque eles não têm endereços IP elásticos. Entretanto, os servidores de banco de dados podem enviar e receber tráfego da Internet por meio do dispositivo NAT na sub-rede pública.

Quaisquer outras sub-redes que você criar usarão a tabela de rotas principal por padrão, o que significa que elas são sub-redes privadas por padrão. Quando desejar tornar uma sub-rede pública, sempre é possível alterar a tabela de rotas principal com a qual está associada.

As tabelas a seguir descrevem as tabelas de rotas para este cenário.

Tabela de rotas principal

A primeira entrada é a padrão para roteamento local na VPC; essa entrada permite que as instâncias na VPC comuniquem-se entre si. A segunda entrada envia todos os outros tráfegos da sub-rede ao gateway NAT (por exemplo, nat-12345678901234567).

Destino Destino

10.0.0.0/16

local

0.0.0.0/0

nat-gateway-id

Tabela de rotas personalizada

A primeira entrada é a padrão para um roteamento local na VPC; essa entrada permite que as instâncias na VPC comuniquem-se entre si. A segunda entrada roteia todos os outros tráfegos da sub-rede à Internet por meio do Internet Gateway (por exemplo, igw-1a2b3d4d).

Destino Destino

10.0.0.0/16

local

0.0.0.0/0

igw-id

Roteamento para o IPv6

Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, a tabela de rotas deverá incluir rotas distintas para tráfego IPv6. As tabelas a seguir mostram a tabela de rotas personalizada para este cenário, se você escolher permitir comunicação IPv6 em sua VPC.

Tabela de rotas principal

A segunda entrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6. A quarta entrada roteia todos os outros tráfegos IPv6 da sub-rede para o Internet Gateway apenas de saída.

Destino Destino

10.0.0.0/16

local

2001:db8:1234:1a00::/56

local

0.0.0.0/0

nat-gateway-id

::/0

egress-only-igw-id

Tabela de rotas personalizada

A segunda entrada é a rota padrão adicionada automaticamente para roteamento local na VPC via IPv6. A quarta entrada roteia todos os outros tráfegos IPv6 da sub-rede para o Internet Gateway.

Destino Destino

10.0.0.0/16

local

2001:db8:1234:1a00::/56

local

0.0.0.0/0

igw-id

::/0

igw-id

Segurança

A AWS fornece dois recursos que você pode usar para aumentar a segurança da VPC: grupos de segurança e ACLs da rede. Os grupos de segurança controlam o tráfego de entrada e de saída de suas instâncias e as Network ACL controlam o tráfego de entrada e de saída de suas sub-redes. Na maioria dos casos, os grupos de segurança podem atender as suas necessidades; contudo, você também pode usar as Network ACL se desejar uma camada adicional de segurança para o seu VPC. Para obter mais informações, consulte Privacidade do tráfego entre redes na Amazon VPC.

No cenário 2, você usará security groups, mas não Network ACLs. Se quiser usar uma Network ACL, consulte Regras de network ACL recomendadas para uma VPC com sub-redes públicas e privadas (NAT).

Sua VPC é fornecida com um security group padrão. Uma instância executada na VPC será automaticamente associada ao security group padrão se você não especificar um security group diferente durante a execução. Para este cenário, é recomendável criar os security groups a seguir, em vez de usar o security group padrão:

  • WebServerSG: especifique esse security group quando iniciar servidores web na sub-rede pública.

  • DBServerSG: especifique esse security group quando iniciar os servidores de banco de dados na sub-rede privada.

As instâncias atribuídas a um security group podem estar em diferentes sub-redes. Entretanto, neste cenário, cada security group corresponde ao tipo de função que uma instância desempenha e cada função requer que a instância esteja em uma sub-rede específica. Portanto, neste cenário, todas as instâncias atribuídas a um security group estão na mesma sub-rede.

A tabela a seguir descreve as regras recomendadas para o security group WebServerSG, que permitem que os servidores web recebam tráfego da Internet, bem como tráfego SSH e RDP de sua rede. Os servidores web podem também iniciar solicitações de leitura e gravação para os servidores de banco de dados na sub-rede privada e enviar tráfego para a Internet; por exemplo, para obter atualizações de software. Pelo fato de o servidor Web não iniciar nenhuma outra comunicação de saída, a regra de saída padrão é removida.

nota

Essas recomendações incluem o acesso SSH e RDP e acesso do Microsoft SQL Server e MySQL. Na sua situação, talvez você precise apenas de regras para o Linux (SSH e MySQL) ou Windows (RDP e Microsoft SQL Server).

Entrada
Origem Protocolo Intervalo de portas Comentários

0.0.0.0/0

TCP

80

Permite acesso HTTP de entrada para servidores web de qualquer endereço IPv4.

0.0.0.0/0

TCP

443

Permite acesso HTTPS de entrada para servidores web de qualquer endereço IPv4.

Intervalo de endereços IPv4 públicos de sua rede doméstica

TCP

22

Permite acesso SSH de entrada de sua rede doméstica a instâncias Linux (por meio do Internet Gateway). Você pode obter o endereço IPv4 público de seu computador local usando um serviço como o http://checkip.amazonaws.com ou o https://checkip.amazonaws.com. Se estiver conectado por meio de um ISP ou atrás de um firewall sem um endereço IP estático, localize o intervalo de endereços IP usado por computadores cliente.

Intervalo de endereços IPv4 públicos de sua rede doméstica

TCP

3389

Permite acesso RDP de entrada de sua rede doméstica a instâncias Windows (por meio do Internet Gateway).

Saída

Destino Protocolo Intervalo de portas Comentários

ID do security group DBServerSG

TCP

1433

Permite acesso de saída do Microsoft SQL Server aos servidores de banco de dados atribuídos ao security group DBServerSG.

ID do security group DBServerSG

TCP

3306

Permite acesso de saída do MySQL aos servidores de banco de dados atribuídos ao security group DBServerSG.

0.0.0.0/0

TCP

80

Permite acesso HTTP de saída a qualquer endereço IPv4.

0.0.0.0/0

TCP

443

Permite acesso HTTPS de saída a qualquer endereço IPv4.

A tabela a seguir descreve as regras recomendadas para o security group DBServerSG, que permitem solicitações de leitura e gravação ao banco de dados nos servidores web. Os servidores de banco de dados podem também iniciar tráfego destinado à Internet (a tabela de rotas envia o tráfego ao gateway NAT, que o encaminha à Internet por meio do Internet Gateway).

Entrada
Origem Protocolo Intervalo de portas Comentários

ID do security group WebServerSG

TCP

1433

Permite acesso de entrada ao Microsoft SQL Server de servidores web associados ao security group WebServerSG.

ID do security group WebServerSG

TCP

3306

Permite acesso de entrada ao MySQL Server de servidores web associados ao security group WebServerSG.

Saída

Destino Protocolo Intervalo de portas Comentários

0.0.0.0/0

TCP

80

Permite acesso HTTP de saída à Internet por IPv4 (por exemplo, para atualizações de software).

0.0.0.0/0

TCP

443

Permite acesso HTTPS de saída à Internet por IPv4 (por exemplo, para atualizações de software).

(Opcional) O security group padrão para uma VPC tem regras que permite automaticamente que as instâncias atribuídas comuniquem-se entre si. Para permitir esse tipo de comunicação a um security group personalizado, é necessário adicionar as regras a seguir:

Entrada
Origem Protocolo Intervalo de portas Comentários

ID do security group

Tudo

Tudo

(Opcional) Permite tráfego de entrada de outras instâncias atribuídas para esse security group.

Saída
Destino Protocolo Intervalo de portas Comentários
ID do security group Tudo Tudo Permite tráfego de saída a outras instâncias atribuídas para esse security group.

(Opcional) Se você executar um bastion host na sub-rede pública para ser usado como proxy para tráfego SSH ou RDP da rede doméstica à sub-rede privada, adicione uma regra ao security group DBServerSG que permita que o tráfego de entrada SSH ou RDP da instância do bastion ou do seu security group associado.

Regras de grupos de segurança para IPv6

Se você associar um bloco CIDR IPv6 à sua VPC e às sub-redes, deverá adicionar regras distintas aos seus security groups WebServerSG e DBServerSG a fim de controlar o tráfego IPv6 de entrada e saída de suas instâncias. Neste cenário, os servidores web poderão receber todo o tráfego da Internet por IPv6 e tráfego RDP ou SSH de sua rede local por IPv6. Além disso, eles poderão iniciar tráfego IPv6 de saída para a Internet. Os servidores de banco de dados podem iniciar tráfego IPv6 de saída para a Internet.

A seguir encontram-se regras específicas do IPv6 ao security group WebServerSG (que são um complemento às regras listadas anteriormente).

Entrada
Origem Protocolo Intervalo de portas Comentários

::/0

TCP

80

Permite acesso HTTP de entrada para servidores web de qualquer endereço IPv6.

::/0

TCP

443

Permite acesso HTTPS de entrada para servidores web de qualquer endereço IPv6.

Intervalo de endereços IPv6 de sua rede

TCP

22

(Instâncias Linux) Permite acesso SSH de entrada de sua rede por IPv6.

Intervalo de endereços IPv6 de sua rede

TCP

3389

(Instâncias Windows) Permite acesso RDP de entrada de sua rede por IPv6

Saída
Destino Protocolo Intervalo de portas Comentários
::/0 TCP HTTP Permite acesso HTTP de saída a qualquer endereço IPv6.
::/0 TCP HTTPS Permite acesso HTTPS de saída a qualquer endereço IPv6.

A seguir encontram-se regras específicas do IPv6 ao security group DBServerSG (que são um complemento às regras listadas anteriormente).

Saída

Destino Protocolo Intervalo de portas Comentários

::/0

TCP

80

Permite acesso HTTP de saída a qualquer endereço IPv6.

::/0

TCP

443

Permite acesso HTTPS de saída a qualquer endereço IPv6.

Implementar o cenário 2

Você pode usar o assistente de VPC para criar a VPC, sub-redes, gateway NAT e, opcionalmente, um Internet Gateway apenas de saída. Você precisa especificar um endereço IP elástico para seu gateway NAT; se não tiver um, primeiro deverá alocar um à sua conta. Se desejar usar um endereço IP elástico existente, verifique se no momento ele não está associado a outra instância ou interface de rede. O gateway NAT é criado automaticamente na sub-rede pública de sua VPC.

Implementar o cenário 2 com uma instância NAT

Você pode implementar o cenário 2 usando uma instância NAT, em vez de um gateway NAT. Para obter mais informações sobre instância NAT, consulte Instâncias NAT).

Você pode seguir os mesmos procedimentos anteriores; porém, na seção NAT do assistente de VPC, escolha Use a NAT instance instead e especifique os detalhes de sua instância NAT. Você solicitará também um security group para sua instância NAT (NATSG), que permite que a instância NAT receba tráfego vinculado à Internet das instâncias na sub-rede privada, bem como tráfego SSH de sua rede. Como a instância NAT pode também enviar tráfego à Internet, as instâncias na sub-rede privada podem obter atualizações de software.

Assim que criar a VPC com a instância NAT, você precisa alterar o security group associado com a instância NAT para o novo security group NATSG (por padrão, a instância NAT é executada usando o security group padrão).

Entrada
Origem Protocolo Intervalo de portas Comentários

10.0.1.0/24

TCP

80

Permite tráfego HTTP de entrada dos servidores de bancos de dados que estão na sub-rede privada.

10.0.1.0/24

TCP

443

Permite tráfego HTTPS de entrada dos servidores de bancos de dados que estão na sub-rede privada.

Intervalo de endereços IP públicos de sua rede

TCP

22

Permite acesso SSH de entrada de sua rede à instância NAT (por meio do Internet Gateway).

Saída

Destino Protocolo Intervalo de portas Comentários

0.0.0.0/0

TCP

80

Permite acesso HTTP de entrada à Internet (por meio do Internet Gateway).

0.0.0.0/0

TCP

443

Permite acesso HTTPS de entrada à Internet (por meio do Internet Gateway).

Regras de network ACL recomendadas para uma VPC com sub-redes públicas e privadas (NAT)

Para esse cenário você tem uma network ACL para a sub-rede pública e outra network ACL para a sub-rede privada. A tabela a seguir mostra as regras que recomendamos para cada ACL. Elas bloqueiam todos os tráfegos, exceto aquele explicitamente necessário. Eles basicamente imitam as regras do security group do cenário.

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de entrada de qualquer endereço IPv4.

110

0.0.0.0/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de entrada de qualquer endereço IPv4.

120

Intervalo de endereços IP públicos da sua rede doméstica

TCP

22

PERMISSÃO

Permite tráfego SSH de entrada de sua rede doméstica (pelo gateway da Internet).

130

Intervalo de endereços IP públicos da sua rede doméstica

TCP

3389

PERMISSÃO

Permite tráfego RDP de entrada de sua rede doméstica (pelo gateway da Internet).

140

0.0.0.0/0

TCP

1024-65535

PERMISSÃO

Permite tráfego de retorno de entrada de hosts na Internet que estão respondendo a solicitações originadas na sub-rede.

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

0.0.0.0/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv4 de entrada ainda não controlados por uma regra precedente (não modificável).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de saída da sub-rede para a Internet.

110

0.0.0.0/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de saída da sub-rede para a Internet.

120

10.0.1.0/24

TCP

1433

PERMISSÃO

Permite acesso MS SQL de saída a servidores de banco de dados na sub-rede privada.

Esse número de porta é apenas de exemplo. Outros exemplos incluem 3306 para acesso MySQL/Aurora, 5432 para acesso PostgreSQL, 5439 para acesso Amazon Redshift e 1521 para acesso Oracle.

140

0.0.0.0/0

TCP

32768-65535

PERMISSÃO

Permite respostas de saída a clientes na Internet (por exemplo, fornece páginas da web a pessoas que visitam os servidores da web na sub-rede).

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

150

10.0.1.0/24

TCP

22

PERMISSÃO

Permite acesso SSH de saída a instância em sua sub-rede privada (de um SSH Bastion, se tiver um).

*

0.0.0.0/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv4 de saída ainda não controlados por uma regra precedente (não modificável).

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

100

10.0.0.0/24

TCP

1433

PERMISSÃO

Permite que servidores web na sub-rede pública leiam e gravem em servidores MS SQL na sub-rede privada.

Esse número de porta é apenas de exemplo. Outros exemplos incluem 3306 para acesso MySQL/Aurora, 5432 para acesso PostgreSQL, 5439 para acesso Amazon Redshift e 1521 para acesso Oracle.

120

10.0.0.0/24

TCP

22

PERMISSÃO

Permite tráfego SSH de entrada de um SSH Bastion na sub-rede pública (se tiver um).

130

10.0.0.0/24

TCP

3389

PERMISSÃO

Permite tráfego RDP de entrada do gateway Microsoft Terminal Services na sub-rede pública.

140

0.0.0.0/0

TCP

1024-65535

PERMISSÃO

Permite tráfego de retorno de saída do dispositivo NAT na sub-rede pública para solicitações originadas na sub-rede privada.

Para obter informações sobre como especificar as portas efêmeras corretas, consulte uma observação fundamental no início deste tópico.

*

0.0.0.0/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv4 de entrada ainda não controlados por uma regra precedente (não modificável).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

100

0.0.0.0/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de saída da sub-rede para a Internet.

110

0.0.0.0/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de saída da sub-rede para a Internet.

120

10.0.0.0/24

TCP

32768-65535

PERMISSÃO

Permite respostas de saída à sub-rede pública (por exemplo, respostas de servidores web na sub-rede pública que estão se comunicando com servidores de banco de dados na sub-rede privada).

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

0.0.0.0/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv4 de saída ainda não controlados por uma regra precedente (não modificável).

Regras de network ACL recomendadas para IPv6

Se tiver implementado suporte de IPv6 e criado uma VPC e sub-redes com blocos CIDR de IPv6 associados, deverá adicionar regras distintas às suas network ACLs para controlar o tráfego IPv6 de entrada e saída.

Veja a seguir regras específicas de IPv6 para suas network ACLs (que são um complemento às regras precedentes).

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

::/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de entrada de qualquer endereço IPv6.

160

::/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de entrada de qualquer endereço IPv6.

170

Intervalo de endereços IPv6 de sua rede doméstica

TCP

22

PERMISSÃO

Permite tráfego SSH de entrada por IPv6 de sua rede doméstica (pelo gateway da Internet).

180

Intervalo de endereços IPv6 de sua rede doméstica

TCP

3389

PERMISSÃO

Permite tráfego RDP de entrada por IPv6 de sua rede doméstica (pelo gateway da Internet).

190

::/0

TCP

1024-65535

PERMISSÃO

Permite tráfego de retorno de entrada de hosts na Internet que estão respondendo a solicitações originadas na sub-rede.

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

::/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv6 de entrada ainda não controlados por uma regra precedente (não modificável).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

160

::/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de saída da sub-rede para a Internet.

170

::/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de saída da sub-rede para a Internet

180

2001:db8:1234:1a01::/64

TCP

1433

PERMISSÃO

Permite acesso MS SQL de saída a servidores de banco de dados na sub-rede privada.

Esse número de porta é apenas de exemplo. Outros exemplos incluem 3306 para acesso MySQL/Aurora, 5432 para acesso PostgreSQL, 5439 para acesso Amazon Redshift e 1521 para acesso Oracle.

200

::/0

TCP

32768-65535

PERMISSÃO

Permite respostas de saída a clientes na Internet (por exemplo, fornece páginas da web a pessoas que visitam os servidores da web na sub-rede).

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

210

2001:db8:1234:1a01::/64

TCP

22

PERMISSÃO

Permite acesso SSH de saída a instância em sua sub-rede privada (de um SSH Bastion, se tiver um).

*

::/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv6 de saída ainda não controlados por uma regra precedente (não modificável).

Inbound
Rule # Source IP Protocol Port Allow/Deny Comments

150

2001:db8:1234:1a00::/64

TCP

1433

PERMISSÃO

Permite que servidores web na sub-rede pública leiam e gravem em servidores MS SQL na sub-rede privada.

Esse número de porta é apenas de exemplo. Outros exemplos incluem 3306 para acesso MySQL/Aurora, 5432 para acesso PostgreSQL, 5439 para acesso Amazon Redshift e 1521 para acesso Oracle.

170

2001:db8:1234:1a00::/64

TCP

22

PERMISSÃO

Permite tráfego SSH de entrada de um SSH Bastion na sub-rede pública (se aplicável).

180

2001:db8:1234:1a00::/64

TCP

3389

PERMISSÃO

Permite tráfego RDP de entrada de um gateway Microsoft Terminal Services na sub-rede pública, se aplicável.

190

::/0

TCP

1024-65535

PERMISSÃO

Permite tráfego de retorno de entrada do gateway da Internet apenas de saída para solicitações originadas na sub-rede privada.

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

::/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv6 de entrada ainda não controlados por uma regra precedente (não modificável).

Outbound
Rule # Dest IP Protocol Port Allow/Deny Comments

130

::/0

TCP

80

PERMISSÃO

Permite tráfego HTTP de saída da sub-rede para a Internet.

140

::/0

TCP

443

PERMISSÃO

Permite tráfego HTTPS de saída da sub-rede para a Internet.

150

2001:db8:1234:1a00::/64

TCP

32768-65535

PERMISSÃO

Permite respostas de saída à sub-rede pública (por exemplo, respostas de servidores web na sub-rede pública que estão se comunicando com servidores de banco de dados na sub-rede privada).

O intervalo é apenas de exemplo. Para obter informações sobre como escolher as portas efêmeras corretas para sua configuração, consulte Portas efêmeras.

*

::/0

tudo

tudo

NEGAÇÃO

Nega todos os tráfegos IPv6 de saída ainda não controlados por uma regra precedente (não modificável).