No funcionen les regles de tallafocs — Serveis TIC — UPC. Universitat Politècnica de Catalunya


Descripció

Aquest document detalla un cas particular en el que les regles de tallafocs poden deixar de funcionar correctament i com corregir-ho.

Escenari

Tenim una màquina virtual en el CloudUPC a la que li hem configurat regles de tallafocs aplicades als seus adaptadors de xarxa. Així, en llistar les regles del tallafocs veurem en origen o en destí identificadors de l’estil XXX-YY/XXX-YY.vmx@{…}, com per exemple:

nsx-t-regla per adaptador

Símptomes

Tot i confirmar que les regles es troben correctament configurades, detectem que a la nostra màquina només podem accedir per ping i que en sortida, aquesta només pot accedir als dns corporatius de la upc i per ping a qualsevol destinació.

Causa

El tallafocs del cloud, com qualsevol tallafocs, funciona amb orígens i destins de tipus adreça IP.

Al cloudUPC tenim la possibilitat de generar regles de tallafocs que apliquem per adaptador de xarxa de màquina virtual.

Aquesta configuració realment el que fa és descobrir les adreces IPs per tal de configurar les regles finals.

Aquest descobriment es fa mitjançant dos mètodes:

  • VMware Tools: Són les encarregades d’informar de les adreces IP configurades a cada adaptador de xarxa en el sistema operatiu.

  • ARP snooping: Es tracta d’una tècnica en la que s’escolta i es monitoritzen uns paquets de xarxa especials (arp) que generen les màquines quan volen iniciar una comunicació amb un destí local desconegut.

La tècnica de ARP snooping requereix un timeout per tal d’esborrar i actualitzar la informació relativa a adreces ips antigues, com ara per exemple degut a un canvi d’ip.

En el cas del CloudUPC aquest timeout es troba configurat a 10 minuts.

Per aquest motiu, si les VMware Tools no es troben funcionant i la nostra màquina no genera i respon a paquets ARP en un ínterval superior a 10 minuts, el tallafocs desaprèn l’adreça IP associada a l’adaptador de xarxa i, per tant, desconfigura totes les regles de tallafocs.

Com que al cloudUPC s’aplica la política de ZeroTrust, la màquina només té connectivitat pels mínims serveis que s’autoritzen per defecte: icmp i comunicació DNS caps als servidors corporatius de la UPC.

Resolució

La tècnica del ARP snooping és útil davant un error puntual a les VMware Tools però pot ser insuficient per si mateixa.

És per això que cal instal·lar i mantenir actualitzades les VMware Tools a les nostres màquines virtuals.

Podeu trobar més informació a:

Ús i recomanacions de les VMware Tools

Com instal·lar o actualitzar les VMware Tools

Consultar l’estat de les VMware Tools



Publicació original

No funcionen les regles de tallafocs — Serveis TIC — UPC. Universitat Politècnica de Catalunya

You May Also Like

RÀDIO / DONA TIC – Presència de la dona al món digital amb Joana Barbany i Maria Galindo – BARCELONADOT

RÀDIO / DONA TIC – Presència de la dona al món digital amb Joana Barbany i Maria Galindo – BARCELONADOT

Diada de les TIC a Catalunya 2023

Diada de les TIC a Catalunya 2023

“Gairebé la meitat de la població mundial no té accés a internet”

“Gairebé la meitat de la població mundial no té accés a internet”

Cookies
Utilitzem cookies. Si li sembla bé només ha de fer clic a "Acceptar-les totes". I també pot escollir quin tipus de cookies vol permetre, clicant al botó dels "Ajustaments". Llegeixi la nostra Política de Cookies
Configuració Acceptar-les totes
Cookies
Triï quin tipus de cookies accepta. L'elecció es conservarà durant un any. Llegeixi la nostra Política de Cookies
Desar Acceptar-les totes