U jednoho z\u00e1kazn\u00edka jsem \u0159e\u0161il mal\u00fd probl\u00e9m na NSX gateway firewallu.<\/p>\n
Zam\u00fd\u0161len\u00e1 situace:<\/p>\n
Dle p\u0159edpokladu by to m\u011blo v\u0161echno fungovat, ale opak byl pravdou.<\/p>\n
Kdy\u017e jsme nastavili posledn\u00ed pravidlo na ALLOW a to ICMP pravidlo pouze na Log, tak bylo vid\u011bt, \u017ee to do toho ICMP pravidla spadlo. Jakmile jsme nastavili na DROP, tak to taky zapsalo do Logu, ale ICMP nepro\u0161el.<\/p>\n
Ud\u011blali jsme tedy Traceflow paketu, kter\u00fd m\u011bl j\u00edt z VM, kter\u00e1 byla uvnit\u0159 na IP adresu v extern\u00ed s\u00edti.<\/p>\n
Probl\u00e9m byl vid\u011bt jako „Interface drop“, nikoli jako Rule DROP<\/p>\n
A v tu chv\u00edli m\u011b to napadlo! Pod\u00edvat se do routovac\u00ed tabulky.<\/p>\n
Pokud bylo posledn\u00ed pravidlo ALLOW, tak vid\u011bl a spr\u00e1vn\u011b se u\u010dil routy dovnit\u0159 i ven. Pokud ale bylo posledn\u00ed pravidlo DROP, tak se to neu\u010dilo routy z BGP.<\/p>\n
NOTE: BGP protokol b\u011b\u017e\u00ed jako IP slu\u017eba na portu 179. Pokud tedy na GW firewallu nastav\u00edme posledn\u00ed pravidlo na DROP, ale nebudeme m\u00edt vytvo\u0159en\u00e9 extra pravidlo pro BGP, tak n\u00e1m p\u0159estane fungovat routing. Nikoli FW.<\/p>\n
Proto je pot\u0159eba je\u0161t\u011b nastavit explicitn\u00ed pravidlo pro BGP, kter\u00e9 bude klidn\u011b jako p\u0159edposledn\u00ed, ale mus\u00ed tam b\u00fdt.\u00a0 BGP protokol nem\u00e1 automatick\u00e9 FW pravidlo, nebo jako Syst\u00e9mov\u00e9 pravidlo. Prost\u011b si jej mus\u00edte vytvo\u0159it sami. V NSX neexistuje p\u0159\u00edmo slu\u017eba BGP, tak\u017ee si ji mus\u00edte vytvo\u0159it – Destination port 179.<\/p>\n
Tak snad to n\u011bkomu pom\u016f\u017ee pro p\u0159\u00ed\u0161t\u011b.<\/p>","protected":false},"excerpt":{"rendered":"
U jednoho z\u00e1kazn\u00edka jsem \u0159e\u0161il mal\u00fd probl\u00e9m na NSX gateway firewallu. Zam\u00fd\u0161len\u00e1 situace: Routing s BGP ji\u017e funguje Nastavit Policy, kter\u00e1 bude povolovat ICMP (prvotn\u00ed<\/p>\n