Search the VMware Knowledge Base (KB)
View by Article ID

Distributed Firewall (DFW) 数据包命中默认规则而非先前的允许/阻止指定流量的规则 (2150490)

  • 0 Ratings

Symptoms

免责声明:本文为 Distributed Firewall (DFW) packets hitting Default Rule instead of previous Rule allowing/blocking designated traffic (2149818) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。

在检查 Distributed Firewall (DFW) 行为过程中,您可能会看到某些在配置规则中定义了源、目标和协议(服务)的数据包命中防火墙规则列表末尾的默认规则。

在 dfwpktlogs 或 LogInsight 中,您可能会看到允许/阻止定义流量的配置规则正在处理 SYN 数据包和 ACK 数据包。

但对于相同流量,您会看到 RST 和 FIN ACK 数据包命中默认的阻止/允许规则,这意味着它未命中先前配置的规则。

因此,DFW 对特定规则中定义的数据包流量的处理似乎不一致。

但是,这是 DFW 状态防火墙对于 TCP 数据包的预期行为:

对于 TCP 数据包,仅为带有 SYN 标记的数据包设置状态。但未指定协议(服务 ANY)的规则可以与带有任何标记组合的任何 TCP 数据包匹配。

因此,如果规则中定义了协议,允许源 A 与 B(反之亦然)之间的流量,则在收到第一个 SYN 数据包时将生成流(或状态)。此流将保持打开状态,允许流量在 A 和 B 之间自由流动。DFW 不需要处理现有流或连接的流量(与其规则列表比较)。

但当 A 或 B 突然终止连接时,可能会从其中一方发送 RST 数据包或 FIN ACK 数据包。因为流已终止,DFW 必须开始将流量与其配置规则进行比较。由于 RST 或 FIN ACK 未设置 SYN 标记,因此不会建立流且这些剩余数据包会命中默认规则(或以“any”作为服务的第一条规则 - 通常为默认规则)。

重申一下,这是预期行为,不会对活动连接或流量内容产生任何影响。有关详细信息,请参见 NSX Administration Guide 中的“Distributed Firewall”部分。


Resolution

要查看哪些流对特定虚拟机有效,请确保启用“流监控”。有关详细信息,请参见 NSX Administration Guide 中的“配置流监控”部分。
  1. 打开与运行虚拟机的 ESXi 主机的 SSH 会话。
  2. 运行 summarize-dvfilter | grep -A20 <vm-name> 命令以检索虚拟机 DFW 筛选器名称。
  3. 运行 vsipioctl getflows -f <filtername> 命令以查看与此筛选器或虚拟机关联的活动流或当前流。
要验证属于筛选器或虚拟网卡的规则,请运行 vsipioctl getrules -f <filtername> 命令。在此输出中,您可以验证配置规则是否按预期应用到虚拟网卡。

有多种方式来验证和确认防火墙是否按预期运行。
  • 您可以在允许规则下方,使用相同的源和目标添加服务为ANY的拒绝规则。在日志中,您应该会看到非SYN数据包命中新的 Deny 规则,而非 Default 规则。
  • 此外,您可以使用 Traceflow 说明 DFW 的工作原理。
在以下示例中,防火墙规则设置为允许 web-01a 和 web-02a 之间的 TCP 流量。默认规则设置为Block。在 Traceflow 的“高级”选项中,您可以为受监控的数据包指定特定的 TCP 标记。

在第一个示例中,指定了SYN数据包。交付SYN数据包并在转到默认阻止规则之前命中允许规则。



在此示例中,发送了RST数据包。在这种情况下,会在防火墙丢弃此数据包,因为根据定义规则防火墙仅与SYN数据包相匹配。

See Also

Request a Product Feature

To request a new product feature or to provide feedback on a VMware product, please visit the Request a Product Feature page.

Feedback

  • 0 Ratings

Did this article help you?
This article resolved my issue.
This article did not resolve my issue.
This article helped but additional information was required to resolve my issue.

What can we do to improve this information? (4000 or fewer characters)




Please enter the Captcha code before clicking Submit.
  • 0 Ratings
Actions
KB: