Les hôtes derrière le firewall dans Alibaba Cloud ne peuvent pas accéder à Internet
7020
Created On 03/23/20 18:01 PM - Last Modified 01/31/23 01:44 AM
Symptom
- PA-VM est déployé sur Alibaba Cloud et le trafic des hôtes résidant dans un sous-réseau directement connecté est reçu et transféré hors du mais aucun trafic de retour n’est
firewall visible.
- Configurez les filtres de paquets pour la paire source/destination spécifique sous Firewall WebUI : Surveiller > Capture
de paquets > Configurer les filtres du > du gestionnaire de filtrage et activer ON le filtrage - Exécutez la commande ci-dessous CLI sur PA-VM pour vérifier si des paquets sont reçus par le :
> afficher le firewallcompteur filtre global delta oui filtre de paquets oui
description de l’aspect de
la catégorie de gravitéde la valeur du nom --------------------------------------------------------------------------------
pkt_recv 6979948287 46 paquets d’info paquet pktproc Paquets
reçus pkt_sent 24087067 0 paquet d’info pktproc Paquets
transmis session_allocated 21511291 0 séance d’information ressources Sessions
allouées session_installed 15969540 0 séances de session d’information Sessions installées
la catégorie de gravitéde la valeur du nom --------------------------------------------------------------------------------
pkt_recv 6979948287 46 paquets d’info paquet pktproc Paquets
reçus pkt_sent 24087067 0 paquet d’info pktproc Paquets
transmis session_allocated 21511291 0 séance d’information ressources Sessions
allouées session_installed 15969540 0 séances de session d’information Sessions installées
- La sortie ci-dessus CLI montre les paquets reçus sur le firewall et transférés. Si les paquets ont été abandonnés sur le , adoptez PAN-OS le firewalldépannage pour l’isoler davantage.
- Vérifiez l’interface IP vs vNIC IP dans le PAN-OS cloud Ali
>'interface afficher tous les
> accédez à Elastic Compute Service → cliquez sur PA VM → Elastic Network Interface
- Étant donné qu’aucun trafic de retour n’est visible sous Journaux de trafic ou Détails de session, le problème peut être du côté ou firewall du côté de la
sortie, suivez les étapes ci-dessous pour l’isoler davantage :
o Vérifier si NAT est configuré sur o Vérifier si l’itinéraire par défaut est configuré sur le sous-réseau de sortie Alibaba pointant vers Internet / NAT Passerelle
o Vérifiez si Elastic IP est associé au privé configuré sur Firewall
l’interface
de IP sortie o Vérifiez si le groupe de sécurité configuré pour l’interface de sortie autorise
Environment
- Plateforme : PA-VM sur Alibaba Cloud.
- PAN-OS / Plugin Version: Tout
Cause
L’interface de sortie de l’instance firewall n’est pas associée à un public IP sur Ali Cloud
Resolution
- Créez et attribuez un public IP à l’interface de sortie de l’instance firewall .
2. Sélectionnez le nouveau créer IP et cliquez sur « Lier »
3. Sélectionnez le type d’instance comme « Secondaire ENI », Mode comme " Mode "NAT et sous Recherche secondaire ENI pour Untrust/Egress NIC ID
Remarque :
o L’adresse élastique IP se lie au ENI fichier NAT IP. Le prend en charge à la fois l’adresse publique IP et l’adresse ENI privée.
IP o Vous ne pouvez pas afficher l’adresse élastique IP dans PAN-OS. Toutefois, vous pouvez utiliser Ouvrir API pour récupérer l’adresse publique IP d’un ENIfichier .
o NAT ne prend pas en charge NAT ALG les protocoles tels que H.323, , , TFTPRTSP, SIP.
DNS o Aucune route par défaut n’est requise dans la table de routage vers IGW les adresses IP publiques pour aller sur Internet
o L’adresse élastique IP se lie au ENI fichier NAT IP. Le prend en charge à la fois l’adresse publique IP et l’adresse ENI privée.
IP o Vous ne pouvez pas afficher l’adresse élastique IP dans PAN-OS. Toutefois, vous pouvez utiliser Ouvrir API pour récupérer l’adresse publique IP d’un ENIfichier .
o NAT ne prend pas en charge NAT ALG les protocoles tels que H.323, , , TFTPRTSP, SIP.
DNS o Aucune route par défaut n’est requise dans la table de routage vers IGW les adresses IP publiques pour aller sur Internet