Cisco FTDv防火墙连接到AWS VPC的初始配置问题

0

【以下的问题经过翻译处理】 大家好,AWS社区。

我在Cisco FTDv防火墙的FDM上遇到了一些初始配置问题,问题主要在于当我尝试访问任何公共地址时,似乎无法在FTDv上接收流量。以下是有关设置的一些内容:

4个接口(Inside、Outside、MGMT和Diagnostic)

直接从FTDv上我可以无问题地ping通google(8.8.8.8)

从AWS上的子网上我可以ping通FTDv的所有接口,但无法ping通谷歌或任何公共子网。

我在防火墙上进行了数据包跟踪测试模拟,我的任意AWS服务器的流量被正确允许通过。

但是,当我从AWS VPC上的服务器上ping谷歌或任何公共IP地址时,我从未看到尝试到达FTDv。

在VPC上,对于0.0.0.0/0我的下一跳是FTDv的Inside接口NIC

PD:当我ping FTDv的接口时,我确实看到Inside接口的服务器流量,因为它们正常工作。但是当我ping任何公共内容时却没有反应。

我还在FTDv上设置了捕获,但我从内部服务器尝试到达时从未看到任何尝试,只有当尝试访问任何公共内容时才有反应。

似乎这是FTDv和AWS Vpc之间的问题。

希望有人能提供一些见解。

提前感谢。

profile picture
专家
已提问 3 个月前6 查看次数
1 回答
0

【以下的回答经过翻译处理】 你好,感谢你的联系。

如果还没有尝试过,请尝试在FTDv实例上禁用源/目的地检查,看是否有帮助。

默认情况下,每个EC2实例都会执行源/目的地检查。这意味着实例必须是发送或接收的任何流量的源或目的地。但是,NAT实例必须能够在源或目的地不是它本身时发送和接收流量。因此,您必须禁用NAT实例的源/目的地检查。

您可以使用控制台或命令行禁用处于运行状态或停止状态的NAT实例的SrcDestCheck属性。

请查看以下链接,获取更多有关此功能和操作指南的详细信息:

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html#EIP_Disable_SrcDestCheck

https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/

希望可以帮到您。

profile picture
专家
已回答 3 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则