Hosts hinter der firewall Alibaba Cloud können das Internet nicht erreichen
7016
Created On 03/23/20 18:01 PM - Last Modified 01/31/23 01:44 AM
Symptom
- PA-VM wird in Alibaba Cloud bereitgestellt und Datenverkehr von Hosts, die
firewall sich in einem direkt verbundenen Subnetz befinden, wird empfangen und von dort weitergeleitet, es wird jedoch kein Rückverkehr angezeigt.
- Richten Sie die Paketfilter für das spezifische Quell-/Zielpaar unter Firewall WebUI: Überwachen > Paketerfassung
ein > Konfigurieren Sie die Filterung > Manager-Filter und aktivieren ON Sie die Filterung - Führen Sie den folgenden Befehl ausPA-VM, um zu überprüfen, ob Pakete vom firewallfolgenden CLI empfangen werden:
> Zähler anzeigen globales Filterdelta ja Paketfilter ja
Name Wert Rate Schweregrad Kategorie Beschreibung
--------------------------------------------------------------------------------
pkt_recv 6979948287 46 Infopaket pktproc Pakete empfangen
pkt_sent 24087067 0 Infopaket pktproc Pakete übertragen
session_allocated21511291 0 Info-Sitzungsressource Sitzungen zugewiesen
session_installed15969540 0 Info-Sitzung Ressource Sitzungen installiert
--------------------------------------------------------------------------------
pkt_recv 6979948287 46 Infopaket pktproc Pakete empfangen
pkt_sent 24087067 0 Infopaket pktproc Pakete übertragen
session_allocated21511291 0 Info-Sitzungsressource Sitzungen zugewiesen
session_installed15969540 0 Info-Sitzung Ressource Sitzungen installiert
- Die obige CLI Ausgabe zeigt Pakete, die auf dem firewall empfangen und weitergeleitet werden. Wenn die Pakete auf dem firewallverworfen wurden, führen Sie die PAN-OS Fehlerbehebung durch, um sie weiter zu isolieren.
- Überprüfen Sie die PAN-OS Schnittstelle IP vs vNIC IP in Ali Cloud
> zeigen Schnittstelle alle
> navigieren Sie zu Elastic Compute Service, → klicken Sie auf PA VM → Elastic Network-Schnittstelle
- Da unter Datenverkehrsprotokolle oder Sitzungsdetails kein Rückverkehr angezeigt wird, kann das Problem entweder auf der ausgehenden Seite oder auf der ausgehenden Seite liegen, führen Sie die folgenden Schritte aus, um es weiter zu isolieren: o Überprüfen, ob konfiguriert ist o Überprüfen Sie, ob die Standardroute im Alibaba-Ausgangssubnetz konfiguriert Firewall
ist, das auf Internet / NAT Gateway
verweist o Überprüfen, ob NAT Elastic IP mit dem auf der firewall
Ausgangsschnittstelle
konfigurierten Private IP verknüpft ist.
o Überprüfen Sie, ob die für die Ausgangsschnittstelle konfigurierte Sicherheitsgruppe dies zulässt.
Environment
- Plattform: PA-VM auf Alibaba Cloud.
- PAN-OS / Plugin-Version: Beeine
Cause
Die Ausgangsschnittstelle der firewall Instanz ist nicht mit einer öffentlichen IP auf Ali Cloud verknüpft
Resolution
- Erstellen Sie eine Öffentlichkeit IP , und weisen Sie sie der Ausgangsschnittstelle der firewall Instanz zu.
2. Wählen Sie die neu erstellte IP Datei aus und klicken Sie auf "Bind"
3. Wählen Sie den Instanztyp als "Sekundär", Modus als "Modus"NAT und unter Sekundär ENIENI Suche nach Nicht vertrauenswürdig/AusgangNIC ID
Anmerkung:
o Die elastische IP Adresse wird an die ENI als gebunden NAT IP. Die ENI unterstützt sowohl öffentliche IP als auch private IP Adressen.
o Sie können die elastische IP Adresse nicht in PAN-OSanzeigen. Sie können jedoch Open API verwenden, um die öffentliche IP Adresse einer angegebenen ENI.
Der o-Modus NAT unterstützt NAT ALG keine Protokolle wie H.323, , , SIPRTSPDNS, TFTP.
o In der Routing-Tabelle ist keine Standardroute erforderlich, damit IGW öffentliche IPs ins Internet gehen können
o Die elastische IP Adresse wird an die ENI als gebunden NAT IP. Die ENI unterstützt sowohl öffentliche IP als auch private IP Adressen.
o Sie können die elastische IP Adresse nicht in PAN-OSanzeigen. Sie können jedoch Open API verwenden, um die öffentliche IP Adresse einer angegebenen ENI.
Der o-Modus NAT unterstützt NAT ALG keine Protokolle wie H.323, , , SIPRTSPDNS, TFTP.
o In der Routing-Tabelle ist keine Standardroute erforderlich, damit IGW öffentliche IPs ins Internet gehen können