の背後にあるホストfirewallAlibaba Cloud ではインターネットにアクセスできません

7006

Created On 03/23/20 18:01 PM - Last Modified 01/31/23 01:44 AM

Symptom

PA-VM Alibaba Cloud にデプロイされ、直接接続されたサブネットに存在するホストからのトラフィックが受信され、そこから転送されます。
firewallただし、リターントラフィックは見られません。

以下の特定の送信元/宛先ペアのパケットフィルタをセットアップします。Firewall WebUI:監視 > パケットキャプチャ
> フィルタリングの構成 > マネージャーフィルターとターンONフィルタリング
以下を実行しますCLIコマンドオンPA-VMによってパケットが受信されたかどうかを確認します。firewall :
> カウンタグローバルフィルタデルタを表示するはいパケットフィルタはい

名前値レート重大度カテゴリ側面説明
-------------------------------------------------- ------------------------------

pkt_recv 6979948287 46 情報パケット pktproc受信したパケット
pkt_sent 24087067 0 情報パケット pktproc送信されたパケット
session_allocated 21511291 0 情報セッションリソース割り当てられたセッション
session_installed 15969540 0 情報セッションリソースセッションがインストールされました

その上CLI出力は、で受信されているパケットを示していますfirewallと転送されました。パケットがfirewall、採用PAN-OSさらに分離するためのトラブルシューティング。
を確認してくださいPAN-OSインターフェースIP対 vNICIPアリクラウドで

> インターフェイスをすべて表示

> Elastic Compute Service に移動 → クリックPA VM→エラスティックネットワークインターフェースユーザーが追加した画像

[トラフィックログ] または [セッションの詳細] の下にリターントラフィックが表示されないため、問題は次のいずれかにある可能性があります。firewallまたは
egress エンドの場合は、以下の手順に従ってさらに分離します。
o 確認するNATで構成されていますFirewall
o インターネットを指す Alibaba egress サブネットでデフォルトルートが設定されているかどうかを確認する /NATゲートウェイ
o 弾力性があるかどうかを確認するIPプライベートに関連付けられていますIP出力インターフェイスで構成されている
o 送信インターフェイス用に構成されたセキュリティグループが許可されているかどうかを確認します。

Environment

プラットホーム：PA-VMアリババクラウドで。
PAN-OS / プラグインのバージョン: 任意

Cause

の出力インターフェイスfirewallインスタンスはパブリックに関連付けられていませんIPアリ・クラウドで

Resolution

パブリックを作成して割り当てるIPの出力インターフェイスにfirewall実例。

1. Alibaba Cloud コンソール > エラスティックに移動しますIP> 作成 IP

2. 新しく作成したものを選択IP「バインド」をクリック

3. インスタンスタイプは「セカンダリ」を選択ENI」、モードとして「NATモード」およびセカンダリの下ENIUntrust/Egress の検索NIC ID

ノート：
o弾性IPアドレスはにバインドしますENIとしてNAT IP. のENI公共の両方をサポートIP住所とプライベートIP住所。
o エラスティックは表示できませんIPの住所PAN-OS. ただし、Open を使用できます。API大衆を取り戻すためにIP指定のアドレスENI.
oNATモードはサポートしていませんNAT ALGなどのプロトコルH.323、SIP 、DNS 、RTSP 、TFTP .
o ルートテーブルにデフォルトルートは必要ありませんIGWパブリック IP がインターネットに接続するため

の背後にあるホストfirewallAlibaba Cloud ではインターネットにアクセスできません

Symptom

Environment

Cause

Resolution

Other users also viewed: