Azure 上的VM系列防火墙丢弃了出站流量

Azure 上的VM系列防火墙丢弃了出站流量

9799
Created On 11/21/22 14:49 PM - Last Modified 01/07/25 18:53 PM


Symptom


  • 在 Azure 中,从内部区到面向公共互联网的外部区的出站流量会被VM系列防火墙丢弃。
  • 当外部区中的客户端尝试与 Azure 中内部区中的服务器建立TCP连接时,防火墙将成功接收初始SYN数据包,但丢弃来自内部区的服务器响应SYN-ACK数据包。

Environment


  • 微软 Azure
  • PA-VM(PAN-OS 10.2.2)

Cause


  • PAN-OS 中的大多数云网络接口设置都配置为DHCP,以便从 Azure门户执行静态 IP 分配。
  • 当在网络接口上启用DHCP时,选项“自动创建指向服务器提供的默认默认路由”被选中并启用。
  • 因此, VM系列防火墙会将 Azure 的默认路由导入到168.63.129.16 ,这是 Azure 用于与 Azure 平台资源通信的虚拟公共IP 地址。
  • 如果在多个接口上启用该选项,则指向每个相应接口作为下一跳的默认路由将安装在路由表中,具有相同的默认量值 10。
  • 但是,只有首先安装的路由才会显示为“活动”(见下面的屏幕截图)。
  • 因此,如果在为网络接口配置上述默认路由导入规则,为virtual router(虚拟路由器-VR)添加默认静态路由,则“活动”默认路由将指向 Azure 的 168.63.129.16,并对使用默认路由(0.0.0.0/0) 的流量进行黑洞。
  • 文章“当使用接口作为DHCP客户端时的默认路由行为”中对此进行了解释。
azure-route-table.PNG

Resolution


  1. “网络”>“接口”下选择受影响的接口
  2. 转到IPv4选项卡
  3. 取消选中自动创建指向服务器提供的默认网关的默认路由”选项。
  4. 单击“OK”
  5. 犯罪
azure-network-interface-dhcp-uncheck.PNG

Additional Information


Microsoft Azure 文档: IP 地址168.63.129.16 是什么?
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFHZCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language