Los hosts detrás de Alibaba firewall Cloud no pueden acceder a Internet
13005
Created On 03/23/20 18:01 PM - Last Modified 01/31/23 01:44 AM
Symptom
- PA-VM se implementa en Alibaba Cloud y el tráfico de los hosts que residen en una subred conectada directamente se recibe y se reenvía fuera de la sin embargo, no se ve tráfico
firewall de retorno.
- Configure los filtros de paquetes para el par de origen/destino específico en Firewall WebUI: Supervisar > Captura
de paquetes > Configurar filtros de filtrado > Manager y activar ON Filtrado - Ejecute el siguiente CLI comando en PA-VM para verificar si el firewall
: > mostrar filtro global delta sí filtro global de contador sí filtro de paquetes sí
Nombre de la categoría de gravedad de la tasa de valor
--------------------------------------------------------------------------------
pkt_recv 6979948287 46 info packet pktproc Packets recibidos
pkt_sent 24087067 0 info packet pktproc Packets transmitidos
session_allocated21511291 0 info session resource Sessions asignado
session_installed15969540 0 info session resource Sessions instalado
--------------------------------------------------------------------------------
pkt_recv 6979948287 46 info packet pktproc Packets recibidos
pkt_sent 24087067 0 info packet pktproc Packets transmitidos
session_allocated21511291 0 info session resource Sessions asignado
session_installed15969540 0 info session resource Sessions instalado
- La salida anterior CLI muestra los paquetes que se reciben en el firewall y se reenvían. Si los paquetes se colocaron en el , adopte PAN-OS la solución de firewallproblemas para aislarlo aún más.
- Compruebe la interfaz IP vs vNIC IP en la PAN-OS nube Ali
> mostrar interfaz todos
> Vaya a Elastic Compute Service → haga clic en PA VM → Elastic Network Interface
- Dado que no se ve tráfico de retorno en Registros de tráfico o Detalles de sesión, el problema puede estar en el extremo de salida o en el extremo, siga los pasos a continuación para aislarlo aún más:
o Verifique si está configurado en o Verifique si la ruta predeterminada está configurada en la subred de salida de Alibaba que apunta a Internet / NAT Gateway
o Verifique si NAT Elastic IP está asociado con el firewall
Privado IP configurado en Firewall
la interfaz
de salida o Verifique si el grupo de seguridad configurado para la interfaz de salida permite
Environment
- Plataforma: PA-VM en Alibaba Cloud.
- PAN-OS / Versión del plugin: Cualquier
Cause
La interfaz de salida de la firewall instancia no está asociada con un público IP en Ali Cloud
Resolution
- Crear y asignar un público IP a la interfaz de salida de firewall la instancia.
2. Seleccione la nueva creación IP y haga clic en "Enlazar"
3. Seleccione el tipo de instancia como "Secundario ENI", Modo como "Modo"NAT y en SecundariaENI , busque Untrust/Egress NIC ID
Nota:
o La dirección elástica IP se enlaza al ENI archivo .NAT IP El ENI admite tanto la dirección pública IP como la dirección privada IP .
o No puede ver la dirección elástica IP en PAN-OS. Sin embargo, puede utilizar Abrir API para recuperar la dirección pública IP de un ENIarchivo .
El modo o NAT no admite NAT ALG protocolos como H.323, , , DNSSIPRTSP, . TFTP
o No se requiere ninguna ruta predeterminada en la tabla de enrutamiento para IGW que las direcciones IP públicas salgan a Internet
o La dirección elástica IP se enlaza al ENI archivo .NAT IP El ENI admite tanto la dirección pública IP como la dirección privada IP .
o No puede ver la dirección elástica IP en PAN-OS. Sin embargo, puede utilizar Abrir API para recuperar la dirección pública IP de un ENIarchivo .
El modo o NAT no admite NAT ALG protocolos como H.323, , , DNSSIPRTSP, . TFTP
o No se requiere ninguna ruta predeterminada en la tabla de enrutamiento para IGW que las direcciones IP públicas salgan a Internet