awsでnatインスタンスをiptablesとかは？

まず、NATの必要性は何でしょう。

NATの必要性は何？

・インターネットから接続される必要のないインスタンスについて、 インターネットからの接続を遮断しつつ、自身はインターネット接続 を出来るようにする

・外部から接続される危険性を減らすこと

NATが実装したいこと

EIP（グローバルアドレス）』を持たないため、通常はインターネット通信が不可能。

インターネットへの通信要件として、下記である。

①AWS標準NTPサーバに対しての時刻同期通信

②パッケージのセキュリティアップデート

パブリックサブネットにNATインスタンスを構築し、NATインスタンスを中継したインターネットへの通信を可能とする。

NATインスタンスの構成は？

①プライベートサブネットの各サーバは、NATインスタンスを中継しインターネットへの通信を行う。

インターネットとは『Outバウンド』の通信のみ可能とし、『Inバウンド』の通信は不可能。

②パブリックサブネットのNATインスタンスは、EIP（グローバルIP）を保持させインターネットと直接通信を行う。

インターネットとは『Inバウンド』、『Outバウンド』通信ともに可能とする。

NATインスタンスの選択

・NATインスタンスは、AWSが提供する『 Amazon Linux AMI 』を利用する。

・NATインスタンスの『 Amazon Linux AMI 』は、EC2作成時にコミュニティAMIから文字列 “amzn-ami-vpc-nat” で検索する。

>ルートデバイスタイプ：ebs 　>仮想化タイプ：hvm

NATインスタンスの仕様

（１）IPv4 転送が有効となる。

（２）ICMP リダイレクトが /etc/sysctl.d/10-nat-settings.conf で無効とする （３）/usr/sbin/configure-pat.sh にあるスクリプトが起動時に実行され、iptables IP マスカレードが設定される。

NATインスタンスの送信元/送信先チェックの『無効化』

EC2インスタンスは、『送信元/送信先チェック』（※）をデフォルトで実行する。

NATインスタンスはパケットの送信元IPアドレスや宛先IPアドレスを書き換えるため、『送信元/送信先チェック』を『無効』にする。

(※）パケットを受け取るには、そのインスタンスが送受信するトラフィックの送信元、または、送信先である」という条件が課せられている。

この条件を「送信元、送信先チェック」と言う

1 AWS マネジメントコンソール にIAMアカウントでサインイン

2 AWS マネジメントコンソールの右上隅で、[Tokyo]リージョンを選択する

3 Amazon EC2 コンソールを開く

4 ナビゲーションペインで、[EC2] を選択する

5 [インスタンスの作成] を選択する。

6 [ステップ 1: Amazon マシンイメージ (AMI)] ページで、コミュニティAMIからNATサーバAMIを選択する。

7 [ステップ 2: インスタンスタイプの選択] ページで、作成するインスタンスタイプを選択し、[次の手順：インスタンスの詳細の設定]を押下する。

8.[ステップ 4: ストレージの追加] ページで、作成するインスタンスタイプを選択、入力し、[次の手順：タグの追加]を押下する。

9.[ステップ ５: タグの追加] ページで、タグを作成し、[次の手順：セキュリティグループの設定]を押下する。

10.[ステップ ５: タグの追加] ページで、タグを作成し、[次の手順：セキュリティグループの設定]を押下する。

11.[ステップ ６: セキュリティグループの設定] ページで、セキュリティグループを作成し、[確認と作成]を押下する。

12.[インスタンス作成の確認] ページで、確認を行い[作成]を押下する。

13.作成を押下する。