Le trafic sortant est abandonné par le pare-feu de la série VM sur Azure

Le trafic sortant est abandonné par le pare-feu de la série VM sur Azure

9803
Created On 11/21/22 14:49 PM - Last Modified 01/07/25 18:46 PM


Symptom


  • Dans Azure, le trafic sortant de la zone interne vers la zone externe faisant face à l’Internet public est abandonné par le pare-feu de la série VM .
  • Lorsqu’un client dans la zone extérieure tente d’établir une connexion TCP avec le serveur dans la zone intérieure dans Azure, le pare-feu reçoit avec succès le paquet SYN initial, mais supprime le paquet SYN-ACK de réponse du serveur de la zone intérieure.

Environment


  • Microsoft Azure
  • PA- VM (PAN-OS 10.2.2)

Cause


  • La plupart des configurations interface réseau cloud dans PAN-OS sont configurées en tant que DHCP, de sorte que les attributions d’adresses IP statiques sont effectuées à partir du portail Azure.
  • Lorsque DHCP est activé sur une interface réseau, l'option « Créer automatiquement une acheminer par défaut pointant vers la passerelle par défaut fournie par le serveur » est cochée et donc activée.
  • Par conséquent, le pare-feu de la série VM importera acheminer par défaut d’Azure vers 168.63.129.16 , qui est adresse IP publique virtuelle d’Azure utilisée pour communiquer avec les ressources de la plateforme Azure.
  • Si l'option est activée dans plusieurs interface, les routes par défaut pointant vers chaque interface correspondante comme saut suivant seront installées dans la table de routage avec la même métrique par défaut de 10.
  • Cependant, seule la acheminer installée en premier apparaîtra comme « Actif » ( voir capture d'écran ci-dessous ).
  • Par conséquent, si une itinéraire statique par défaut est ajoutée au Virtual Router (routeur virtuel - VR) après que les interfaces réseau ont été configurées avec les règles d'importation de acheminer par défaut ci-dessus, la acheminer par défaut « Active » pointera vers 168.63.129.16 d'Azure et bloquera le trafic qui utilise la acheminer par défaut (0.0.0.0/0).
  • Ceci est expliqué dans l'article Comportement de la route par défaut lors de l'utilisation d'une interface agissant comme client DHCP .
azure-route-table.PNG

Resolution


  1. Sélectionnez la ou les interface concernées sous Réseau > Interfaces
  2. Accédez à l'onglet IPv4
  3. Décochez l'option « Créer automatiquement une acheminer par défaut pointant vers la passerelle par défaut fournie par le serveur ».
  4. Cliquez sur OK
  5. Commettre
azure-network-interface-dhcp-uncheck.PNG

Additional Information


Documentation Microsoft Azure : Qu'est-ce que adresse IP 168.63.129.16 ?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFHZCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language