Considérations relatives à la mise en œuvre de NAT sur des pare-feu hébergés sur AWS, Azure ou GCP.

Considérations relatives à la mise en œuvre de NAT sur des pare-feu hébergés sur AWS, Azure ou GCP.

7309
Created On 04/03/24 23:11 PM - Last Modified 05/07/24 13:57 PM


Symptom


Le trafic qui devrait être NATté par un pare-feu de la série de machines virtuelles hébergé dans le cloud public ne passe pas ledit pare-feu.
 

Environment


 

Un pare-feu de la série de machines virtuelles hébergé sur AWS, Azure ou GCP, de sorte que :

  • Il reçoit, traite et transmet le trafic à travers deux zones différentes (par exemple, Confiance et Méfiance, Privé et Public, Privé et DMZ).
  • Une politique NAT a été configurée sur le Firewall pour faciliter ledit trafic.
  • D’autres caractéristiques de l’environnement peuvent inclure une interface nouvellement créée attachée au pare-feu.


Cause



Les interfaces sur le pare-feu doivent être configurées au niveau d’une machine virtuelle afin de permettre le passage du trafic NAT.

Resolution


 

azuré:

  • Activez le transfert IP sur les interfaces de plan de données concernées du pare-feu de machine virtuelle (Microsoft, 2023).
  • Le transfert IP est désactivé par défaut sur les nouvelles interfaces et doit être activé si vous souhaitez effectuer un NAT à l’aide d’une nouvelle interface.
  • Remarque : si l’interface (de plan de données) a été créée récemment et après le déploiement du pare-feu, il y a de fortes chances qu’Azure Accelerated Networking n’ait pas été activé ; nous vous recommandons de l’activer ; référence : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saeoCAA
 

AWS :

 
  • Désactivez les vérifications source/destination sur les interfaces de plan de données concernées du pare-feu de machine virtuelle (Amazon Web Services, 2024).
  • Les vérifications Source/Destination sont activées par défaut sur les nouvelles interfaces, et doivent être désactivées si vous souhaitez effectuer un NAT à l’aide d’une nouvelle interface.
 

GCP :

  • Activer le transfert IP sur les interfaces de plan de données concernées du pare-feu de machine virtuelle (Google Cloud, 2024)
  • Le transfert IP est désactivé par défaut sur les nouvelles interfaces et doit être activé si vous souhaitez effectuer un NAT à l’aide d’une nouvelle interface.

Additional Information


 

Références

Amazon Web Services. (2024). Interfaces réseau élastiques. Documentation AWS. https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

Google Cloud. (2024, 03 27). Activez le transfert IP pour les instances. Documentation Google Cloud. https://cloud.google.com/vpc/docs/using-routes#canipforward

Microsoft. (2023, 03 23). Activer ou désactiver le transfert IP. Microsoft Learn - Documentation. https://learn.microsoft.com/en-us/azure/virtual-network/virtual-network-network-interface?tabs=azure-portal#enable-or-disable-ip-forwarding
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004ObPCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language