Consideraciones al implementar NAT en firewalls alojados en AWS, Azure o GCP.

Consideraciones al implementar NAT en firewalls alojados en AWS, Azure o GCP.

7301
Created On 04/03/24 23:11 PM - Last Modified 05/07/24 13:56 PM


Symptom


El tráfico que se espera que sea controlado por un firewall de la serie VM alojado en la nube pública no pasa de dicho firewall.
 

Environment


 

Un firewall de la serie VM alojado en AWS, Azure o GCP de modo que:

  • Recibe, procesa y transmite tráfico a través de dos zonas diferentes (por ejemplo, confianza y desconfianza, privada y pública, privada y DMZ).
  • Se ha configurado una Política NAT en el Firewall para facilitar dicho tráfico.
  • Otras características del entorno pueden incluir una interfaz recién creada conectada al cortafuegos.


Cause



Las interfaces en el firewall deben configurarse a nivel de máquina virtual para permitir el paso del tráfico NATted.

Resolution


 

Azul:

  • Habilite el reenvío de IP en las interfaces de plano de datos correspondientes del firewall de VM (Microsoft, 2023).
  • El reenvío de IP está deshabilitado de forma predeterminada en las nuevas interfaces y debe habilitarse si desea NAT utilizando una nueva interfaz.
  • Nota al margen: si la interfaz (plano de datos) se ha creado recientemente y después de que se haya implementado el firewall, es probable que no se haya habilitado Azure Accelerated Networking; se recomienda que esté habilitado; referencia: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saeoCAA
 

AWS:

 
  • Deshabilite las comprobaciones de origen/destino en las interfaces de plano de datos correspondientes del firewall de VM (Amazon Web Services, 2024).
  • Las comprobaciones de origen/destino están habilitadas de forma predeterminada en las nuevas interfaces y deben deshabilitarse si desea NAT utilizando una nueva interfaz.
 

GCP:

  • Habilitar el reenvío de IP en las interfaces de plano de datos correspondientes del firewall de VM (Google Cloud, 2024)
  • El reenvío de IP está deshabilitado de forma predeterminada en las nuevas interfaces y debe habilitarse si desea NAT utilizando una nueva interfaz.

Additional Information


 

Referencias

Amazon Web Services. (2024). Interfaces de red elásticas. Documentación de AWS. https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

Google Cloud. (2024, 03 27). Habilite el reenvío de IP para las instancias. Documentación de Google Cloud. https://cloud.google.com/vpc/docs/using-routes#canipforward

Microsoft. (2023, 03 23). Habilite o deshabilite el reenvío de IP. Microsoft Learn - Documentación. https://learn.microsoft.com/en-us/azure/virtual-network/virtual-network-network-interface?tabs=azure-portal#enable-or-disable-ip-forwarding
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004ObPCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language