背后的主人firewall阿里云无法上网
7014
Created On 03/23/20 18:01 PM - Last Modified 01/31/23 01:44 AM
Symptom
- PA-VM 部署在阿里云上,来自直接连接子网中的主机的流量在阿里云上接收并转发出去
firewall但是没有看到返回流量。
- 为特定的源/目标对设置数据包过滤器Firewall网页界面:监控 > 数据包捕获
> 配置过滤 > 管理器过滤器并打开ON过滤 - 运行以下CLI命令PA-VM验证是否收到任何数据包firewall:
>> 显示计数器全局过滤器增量是数据包过滤器是
名称值比率严重性类别方面描述
---------------------------------------------- ------------------------------
pkt_recv 6979948287 46 信息包 pktproc收到的数据包
pkt_sent 24087067 0 信息包 pktproc传输的数据包
session_allocated 21511291 0 信息会话资源会话分配
session_installed 15969540 0 信息会话资源会话已安装
---------------------------------------------- ------------------------------
pkt_recv 6979948287 46 信息包 pktproc收到的数据包
pkt_sent 24087067 0 信息包 pktproc传输的数据包
session_allocated 21511291 0 信息会话资源会话分配
session_installed 15969540 0 信息会话资源会话已安装
- 多于CLI输出显示正在接收的数据包firewall并转发出去。 如果数据包被丢弃在firewall, 采纳PAN-OS故障排除以进一步隔离它。
- 检查PAN-OS界面IP与虚拟网卡IP在阿里云
> 全部显示界面
> 导航到弹性计算服务 → 单击PA VM→ 弹性网络接口
- 由于在流量日志或会话详细信息下看不到返回流量,问题可能出在firewall或在
出口端,按照以下步骤进一步隔离:
o 验证是否NAT配置于Firewall
o 验证是否在指向 Internet 的阿里巴巴出口子网上配置了默认路由 /NAT网关
o 验证是否有弹性IP与私人相关联IP在出接口配置
o 验证为出口接口配置的安全组是否允许
Environment
- 平台:PA-VM在阿里云上。
- PAN-OS / 插件版本:任何
Cause
的出口接口firewall实例不与公共关联IP在阿里云上
Resolution
- 创建并分配一个公共IP到出口接口firewall实例。
2. 选择新建的IP然后点击“绑定”
3. 选择实例类型为“SecondaryENI ”,模式为“NAT模式”和次要ENI搜索不信任/出口NIC ID
笔记:
o 弹性IP地址绑定到ENI作为一个NAT IP. 这ENI支持公共IP地址和私人IP地址。
o 您无法查看弹性IP地址在PAN-OS. 但是,您可以使用 OpenAPI找回公众IP指定的地址ENI.
oNAT模式不支持NAT ALG协议如H.323,SIP ,DNS ,RTSP ,TFTP .
o 路由表中不需要默认路由IGW用于公共 IP 到 Internet
o 弹性IP地址绑定到ENI作为一个NAT IP. 这ENI支持公共IP地址和私人IP地址。
o 您无法查看弹性IP地址在PAN-OS. 但是,您可以使用 OpenAPI找回公众IP指定的地址ENI.
oNAT模式不支持NAT ALG协议如H.323,SIP ,DNS ,RTSP ,TFTP .
o 路由表中不需要默认路由IGW用于公共 IP 到 Internet