本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
客戶閘道裝置的防火牆規則
您必須具有靜態 IP 位址,才能用作將客戶閘IPsec道裝置連線至 AWS Site-to-Site VPN 端點之通道的端點。如果 AWS 與您的客戶閘道裝置之間有防火牆,則必須制定下表中的規則才能建立通IPsec道。 AWS-side 的 IP 地址將在配置文件中。
輸入規則 I1 |
|
---|---|
來源 IP |
Tunnel1 外部 IP |
目標 IP |
客戶閘道 |
通訊協定 |
UDP |
來源連接埠 |
500 |
目的地 |
500 |
輸入規則 I2 |
|
來源 IP |
Tunnel2 外部 IP |
目標 IP |
客戶閘道 |
通訊協定 |
UDP |
來源連接埠 |
500 |
目標連接埠 |
500 |
輸入規則 I3 |
|
來源 IP |
Tunnel1 外部 IP |
目標 IP |
客戶閘道 |
通訊協定 |
IP 50 (ESP) |
輸入規則 I4 |
|
來源 IP |
Tunnel2 外部 IP |
目標 IP |
客戶閘道 |
通訊協定 |
IP 50 (ESP) |
輸出規則 O1 |
|
---|---|
來源 IP |
客戶閘道 |
目標 IP |
Tunnel1 外部 IP |
通訊協定 |
UDP |
來源連接埠 |
500 |
目標連接埠 |
500 |
輸出規則 O2 |
|
來源 IP |
客戶閘道 |
目標 IP |
Tunnel2 外部 IP |
通訊協定 |
UDP |
來源連接埠 |
500 |
目標連接埠 |
500 |
輸出規則 O3 |
|
來源 IP |
客戶閘道 |
目標 IP |
Tunnel1 外部 IP |
通訊協定 |
IP 50 (ESP) |
輸出規則 O4 |
|
來源 IP |
客戶閘道 |
目標 IP |
Tunnel2 外部 IP |
通訊協定 |
IP 50 (ESP) |
規則 I1、I2、O1 和 O2 啟用封包的傳輸。IKE規則 I3、I4、O3 和 O4 可讓包含加密網路流量的IPsec封包傳輸。
注意
如果您在裝置上使用NAT遍歷 (NAT-T),請確保連接埠 4500 上的UDP流量也允許在您的網路和端點之間通過。 AWS Site-to-Site VPN 檢查您的設備是否正在廣告 NAT-T。