Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Cisco FTDv防火墙连接到AWS VPC的初始配置问题

0

【以下的问题经过翻译处理】 大家好,AWS社区。

我在Cisco FTDv防火墙的FDM上遇到了一些初始配置问题,问题主要在于当我尝试访问任何公共地址时,似乎无法在FTDv上接收流量。以下是有关设置的一些内容:

4个接口(Inside、Outside、MGMT和Diagnostic)

直接从FTDv上我可以无问题地ping通google(8.8.8.8)

从AWS上的子网上我可以ping通FTDv的所有接口,但无法ping通谷歌或任何公共子网。

我在防火墙上进行了数据包跟踪测试模拟,我的任意AWS服务器的流量被正确允许通过。

但是,当我从AWS VPC上的服务器上ping谷歌或任何公共IP地址时,我从未看到尝试到达FTDv。

在VPC上,对于0.0.0.0/0我的下一跳是FTDv的Inside接口NIC

PD:当我ping FTDv的接口时,我确实看到Inside接口的服务器流量,因为它们正常工作。但是当我ping任何公共内容时却没有反应。

我还在FTDv上设置了捕获,但我从内部服务器尝试到达时从未看到任何尝试,只有当尝试访问任何公共内容时才有反应。

似乎这是FTDv和AWS Vpc之间的问题。

希望有人能提供一些见解。

提前感谢。

Themen
Vernetzung & Bereitstellung von InhaltenSicherheit, Identität & Konformität
Tags
Amazon VPCAWS Network FirewallNetzwerksicherheit
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten47 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 你好,感谢你的联系。

如果还没有尝试过,请尝试在FTDv实例上禁用源/目的地检查,看是否有帮助。

默认情况下,每个EC2实例都会执行源/目的地检查。这意味着实例必须是发送或接收的任何流量的源或目的地。但是,NAT实例必须能够在源或目的地不是它本身时发送和接收流量。因此,您必须禁用NAT实例的源/目的地检查。

您可以使用控制台或命令行禁用处于运行状态或停止状态的NAT实例的SrcDestCheck属性。

请查看以下链接,获取更多有关此功能和操作指南的详细信息:

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html#EIP_Disable_SrcDestCheck

https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/

希望可以帮到您。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt