Comparteix:

No funcionen les regles de tallafocs

Descripció

Aquest document detalla un cas particular en el que les regles de tallafocs poden deixar de funcionar correctament i com corregir-ho.

 

Escenari

Tenim una màquina virtual en el CloudUPC a la que li hem configurat regles de tallafocs aplicades als seus adaptadors de xarxa. Així, en llistar les regles del tallafocs veurem en origen o en destí identificadors de l'estil XXX-YY/XXX-YY.vmx@{...}, com per exemple: 

 

Símptomes

Tot i confirmar que les regles es troben correctament configurades, detectem que a la nostra màquina només podem accedir per ping i que en sortida, aquesta només pot accedir als dns corporatius de la upc i per ping a qualsevol destinació.

 

Causa

El tallafocs del cloud, com qualsevol tallafocs, funciona amb orígens i destins de tipus adreça IP.

Al cloudUPC tenim la possibilitat de generar regles de tallafocs que apliquem per adaptador de xarxa de màquina virtual.

Aquesta configuració realment el que fa és descobrir les adreces IPs per tal de configurar les regles finals.

Aquest descobriment es fa mitjançant dos mètodes:

  • VMware Tools: Són les encarregades d’informar de les adreces IP configurades a cada adaptador de xarxa en el sistema operatiu.

  • ARP snooping: Es tracta d’una tècnica en la que s’escolta i es monitoritzen uns paquets de xarxa especials (arp) que generen les màquines quan volen iniciar una comunicació amb un destí local desconegut.

La tècnica de ARP snooping requereix un timeout per tal d’esborrar i actualitzar la informació relativa a adreces ips antigues, com ara per exemple degut a un canvi d’ip.

En el cas del CloudUPC aquest timeout es troba configurat a 10 minuts.

Per aquest motiu, si les VMware Tools no es troben funcionant i la nostra màquina no genera i respon a paquets ARP en un ínterval superior a 10 minuts, el tallafocs desaprèn l'adreça IP associada a l'adaptador de xarxa i, per tant, desconfigura totes les regles de tallafocs.

Com que al cloudUPC s'aplica la política de ZeroTrust, la màquina només té connectivitat pels mínims serveis que s'autoritzen per defecte: icmp i comunicació DNS caps als servidors corporatius de la UPC.


Resolució

La tècnica del ARP snooping és útil davant un error puntual a les VMware Tools però pot ser insuficient per si mateixa.

És per això que cal instal·lar i mantenir actualitzades les VMware Tools a les nostres màquines virtuals.

Podeu trobar més informació a:

Ús i recomanacions de les VMware Tools

Com instal·lar o actualitzar les VMware Tools

Consultar l'estat de les VMware Tools