モードで展開されたIP場合の「スプーフィングされたアドレス」と「厳密なIPアドレスチェック」のGWLB動作PA-VMAWS。

モードで展開されたIP場合の「スプーフィングされたアドレス」と「厳密なIPアドレスチェック」のGWLB動作PA-VMAWS。

1865
Created On 02/07/22 08:12 AM - Last Modified 07/29/25 01:38 AM


Symptom


ゾーン保護プロファイルが 「スプーフィングIPされたアドレス」や「厳密IPなアドレスチェック」を使用して適用されると、モードでGWLBトラフィックがドロップPA-VMAWSされます。

Environment


PA-VM AWSは、サブインターフェイスにGWLB適用されるゾーン保護プロファイルを使用してモードで展開されます。

PA-VM AWSでのセットアップモードでGWLBの展開は、スティック構成上のルーターに似ています。

name                id    vsys zone             forwarding               tag    address
------------------- ----- ---- ---------------- ------------------------ ------ ------------------
ethernet1/1         16    1    Zone1            vr:virtual-router        0      10.11.0.241/24
ethernet1/1.100     256   1    Zone2            vr:virtual-router        100    N/A
ethernet1/1.200     257   1    Zone3            vr:virtual-router        200    N/A
ethernet1/1.300     258   1    Zone4            vr:virtual-router        300    N/A


ただし、サブインターフェイスがタイプ"レイヤ 3" であっても、それらのサブインターフェイスには割り当てられていない IP ので、それらのサブインターフェイスを指すルートはありません。

admin@PA-vm> show interface ethernet1/1.100
--------------------------------------------------------------------------------
Name: ethernet1/1.100, ID: 256, 802.1q tag: 100
Operation mode: layer3
Virtual router virtual-router
Interface MTU 1500
Interface management profile: N/A
Service configured: 
Zone: obew-ap-southeast-1, virtual system: vsys1
Adjust TCP MSS: no
Policing: no


転送の決定は、エンドポイントからサブインターフェイスへのマッピングに基づいてVPC行われます。
エンドポイントとサブインターフェイスのマッピングの詳細VPCについては、次の記事を参照してください。
https://docs.paloaltonetworks.com/vm-series/1/1/vm-series展開/セットアップfirewallvm-series-オン・aws/vm-series-integration-とゲートウェイロードバランサー/統合vm-series-aws-gateway-ロードバランサー/vpc-エンドポイントvm-seriesとインタフェース.html#idfa08d566-ce68-4733-a17f-b67aa9999

ルーティング ルートは親インターフェイス(この例では e1/1)にのみマッピングされます。
ただし、サブインターフェイスに関連付けられたゾーンに対して"スプーフィングされたIPアドレス"チェックを行ったゾーン保護プロファイルを適用すると、サブインターフェイスでヒットするすべてのトラフィックは、flow_dos_pf_ipspoofグローバル カウンタを持つスプーフィングされたパケットとしてIPドロップされます。

admin@PA-vm> show routing route
{noformat}
flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp,
       Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2, E:ecmp, M:multicast


VIRTUAL ROUTER: virtual-router (id 2)
  ==========
destination                                 nexthop                                 metric flags      age   interface          next-AS

0.0.0.0/0                                   10.11.0.1                              10     A S              ethernet1/1
10.11.0.0/24                                10.11.0.241                            0      A C              ethernet1/1
10.11.0.241/32                              0.0.0.0                                 0      A H


 

Cause


「スプーフィングされたIPアドレス」と「厳密なIPアドレスチェック」は、モードAWSAWS
IPでGWLBAWS展開されている場合PA-VMにはサポートされていません。
サブネット内の通信を使用して強力なネットワーク セキュリティ グループを使用することをおGWLB勧めします。
強力なアンチスプーフィングがpolicyデフォルトで有効になっているためAWS、この機能は で必要PA-VM Firewallとされていないとみなされました。

 

Resolution


関連付けられたゾーン保護プロファイルの [スプーフィングされた IP アドレス] および [厳密な IP アドレスチェック] オプションを無効にします。

ZPP_AWS_1。PNG


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N7ECAU&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language