El firewall de la serie VM descarta el tráfico saliente en Azure

El firewall de la serie VM descarta el tráfico saliente en Azure

9965
Created On 11/21/22 14:49 PM - Last Modified 01/07/25 18:50 PM


Symptom


  • En Azure, el cortafuegos de la serie VM descarta el tráfico saliente desde la zona interna hacia la zona externa que da a Internet pública.
  • Cuando un cliente en la zona externa intenta establecer una conexión TCP con el servidor en la zona interna de Azure, el cortafuegos recibirá correctamente el paquete SYN inicial, pero descartará el paquete SYN-ACK de respuesta del servidor de la zona interna.

Environment


  • Microsoft Azure
  • PA- VM (PAN-OS 10.2.2)

Cause


  • La mayoría de las configuraciones de interfaz de red en la nube en PAN-OS están configuradas como DHCP, de modo que las asignaciones de IP estáticas se realizan desde el portal de Azure.
  • Cuando DHCP está habilitado en una interfaz de red, la opción " Crear automáticamente una ruta valor predeterminado que apunte a la puerta de enlace valor predeterminado proporcionada por el servidor " está marcada y, por lo tanto, habilitada.
  • Como resultado, el cortafuegos de la serie VM importará la ruta valor predeterminado de Azure a 168.63.129.16 , que es la Dirección IP pública virtual de Azure que se utiliza para comunicarse con los recursos de la plataforma Azure.
  • Si la opción está habilitada en más de una interfaz, las rutas valor predeterminado que apuntan a cada interfaz correspondiente como siguiente salto se instalarán en la tabla de enrutamiento con la misma métrica valor predeterminado de 10.
  • Sin embargo, solo la ruta que se instale primero aparecerá como " Activa " ( ver captura de pantalla a continuación ).
  • Por lo tanto, si se agrega una ruta estática valor predeterminado al virtual router (enrutador virtual - VR) después de que las interfaces de red se hayan configurado con las reglas de importación de ruta valor predeterminado anteriores, la ruta valor predeterminado " Activa " apuntará a 168.63.129.16 de Azure y bloqueará el tráfico que usa la ruta valor predeterminado (0.0.0.0/0).
  • Esto se explica en el artículo Comportamiento de ruta predeterminado cuando se utiliza una interfaz que actúa como cliente DHCP .
azure-route-table.PNG

Resolution


  1. Seleccione la(s) interfaz(es ) afectada(s) en Red > Interfaces
  2. Vaya a la pestaña IPv4
  3. Desmarque la opción " Crear automáticamente una ruta valor predeterminado que apunte a la puerta de enlace valor predeterminado proporcionada por el servidor ".
  4. Haga clic en OK
  5. Comprometerse
azure-network-interface-dhcp-uncheck.PNG

Additional Information


Documentación de Microsoft Azure: ¿Qué es la Dirección IP 168.63.129.16?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFHZCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language