This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM on AWS --- F/W blocking of 169.254.169.254

Hi,
Sorry, I am sure this will have been asked before but really cannot find the answer...& now really bugging me!

UTM always blocks traffic from the external adapter on the UTM 9.206-35 to the default AWS metadata system at 169.254.169.254.... 

F/W block:-
TCP 10.50.0.10 :47981
→ 169.254.169.254:80
[SYN] len=60 ttl=64 tos=0x00 srcmac=2:f6:

(On all 3 UTM's in VPC's with Public / Private adapters)
Every on these works as should except that get thousands of these blocks...
I have checked AWS security groups / physically put in a rule for external to this address for all traffic, etc. without success.

Can somebody put me right on what I have failed to do please?
Really Appreciate!
Lee


This thread was automatically locked due to age.
  • Hi Lee, 

    this is a deliberate security precaution on UTM. When configuring a new UTM instance in AWS, you may supply a default admin password, among other settings, in the user-data field. If a user connects through the UTM via VPN, or from behind the UTM via workspaces or other virtual desktop, and UTM is performing NAT or web filtering, then those users would otherwise have access to the UTM user-data field, and the initial admin password. 

    If you have instances behind the UTM that need to access this for themselves, then this should work automatically - unless you're statically setting routing details within the instance. If that's the case, then you should be able to add an additional route on the instance to use the .1 address in that instance's subnet, as the gateway for 169.252.169.254.
  • Hi Alan,
    Very nice reply --- thank you! 
    Makes sense, & looking at logs on 1 of the UTM's that can see that when no instances are active then no F/W rule 0 blocks to that 169.254.169.254... I presumed it was the UTM itself making the calls.
    I will look further, but believe that will just need to change the EC2 Config to have 'ShouldAddRoutes' set to false in the Global section, and then set manual persistent routes for the 169.254.x.x.  I don't believe there is a specific config area or registry, to set individual EC2 routes; by memory believe the service just adds these based on the default route and the default route on the instances is as you suspected, set as the UTM for control.
    Many Thanks again, Lee.
  • Hi,
    For completeness of Alan's answer with my setup if other people come across this issue.....

    Using the 'standard' VPC setup with a UTM, you will probably have a public and private subnet in the VPC and the 'standard' would be for all traffic to flow from the private through the UTM for all I'Net access. 
    To rectify the issue of seeing continual blocking on the AWS meta-data systems (169.254.169.254), you will just need to re-instate the default AWS NAT G'Way & change VPC main routing to set another route for 169.254.169.0/24 through this NAT (can set just the .254, as believe this is the only address automatically blocked by the UTM, but prefer the approach of capture all AWS traffic but that's a personal thing). 
    On the individual servers in the private VPC, change the 'ShouldAddRoutes' entry to false in the EC2 Service's Config.xml (Windows '\program files\amazon\ec2configservice\settings') & restart the service; then delete the routes to 169.254.169.254 (& .250 & .251 as elected) (Windows 'route delete 169.254.169.254') & add a persistent route to 169.254.169.0 through the local private subnet's default route (x.x.x.1). (Windows 'route add 169.254.169.0 mask 255.255.255.0 x.x.x.1 -p').

    Thanks again to Alan.
  • I hate to dig up this old thread, but I'm having a similar issue to this and haven't been able to find a solution.  The solution described here isn't entirely clear to me, either.  

    This is UTM 9 on AWS.

    The route table on my Windows machine looks like this:

     

    Active Routes:
    Network Destination Netmask Gateway Interface Metric
    169.254.169.250 255.255.255.255 10.1.2.5 10.1.2.10 5
    169.254.169.251 255.255.255.255 10.1.2.5 10.1.2.10 5
    169.254.169.254 255.255.255.255 10.1.2.5 10.1.2.10 5
    ===========================================================================
    Persistent Routes:
    Network Address Netmask Gateway Address Metric
    0.0.0.0 0.0.0.0 10.1.2.5 Default
    ===========================================================================

     

    In the UTM I've created a policy route for any internal host with destination 169.254.169.0/24 to use 10.1.2.1 as the next hop.  I can actually see data when I browse to the meta-data page, but I'm still seeing thousands of these blocked entries every day.

    What am I missing?