Azure 上のVMシリーズ ファイアウォールによって送信トラフィックがドロップされる
9791
Created On 11/21/22 14:49 PM - Last Modified 01/07/25 18:51 PM
Symptom
- Azure では、パブリック インターネットに面した内部ゾーンから外部ゾーンへのアウトバウンド トラフィックは、 VMシリーズファイアウォールによってドロップされます。
- 外部ゾーンのクライアントが Azure の内部ゾーンのサーバーとのTCP接続を確立しようとすると、ファイアウォールは最初のSYNパケットを正常に受信しますが、内部ゾーンからのサーバー応答SYN-ACKパケットをドロップします。
Environment
- マイクロソフトアジュール
- PA- VM (PAN-OS 10.2.2)
Cause
- PAN-OS のクラウド ネットワークインターフェイス設定のほとんどはDHCPとして構成されており、静的 IP の割り当ては Azureポータルから実行されます。
- ネットワークインターフェイスでDHCPが有効になっている場合、「サーバーが提供するデフォルトゲートウェイを指すデフォルトルーティングするを自動的に作成する」オプションがチェックされ、有効になります。
- その結果、 VMシリーズファイアウォールは、 Azure プラットフォーム リソースとの通信に使用される Azure の仮想パブリックIPアドレスである168.63.129.16への Azure のデフォルトルーティングするをインポートします。
- このオプションが複数のインターフェイスで有効になっている場合、対応する各インターフェイスをネクストホップとして指すデフォルトルートが、同じデフォルトメトリック 10 でルーティング テーブルにインストールされます。
- ただし、最初にインストールされたルーティングするのみが「アクティブ」として表示されます (下のスクリーンショットを参照)。
- したがって、上記のデフォルトルーティングするのインポート ルールを使用してネットワーク インターフェイスを構成した後、デフォルトのスタティック ルートがvirtual router ( 仮想ルーター - VR)に追加されると、「アクティブ」なデフォルトルーティングするはAzure の 168.63.129.16 を指し、デフォルトルーティングする(0.0.0.0/0) を使用するトラフィックをブラックホール化します。
- これについては、「 DHCPクライアントとして機能するインターフェイスを使用する場合のデフォルト ルートの動作」の記事で説明されています。
Resolution
- ネットワーク > インターフェースで影響を受けるインターフェイスを選択します。
- IPv4タブに移動します
- 「サーバーが提供するデフォルトゲートウェイを指すデフォルトルーティングするを自動的に作成する」オプションのチェックを外します。
- Okをクリック
- 専念
Additional Information
Microsoft Azure ドキュメント: IPアドレス168.63.129.16 とは何ですか?