Wie man NAT für ein Netzwerk konfiguriert, das nicht mit der Firewall verbunden ist

Wie man NAT für ein Netzwerk konfiguriert, das nicht mit der Firewall verbunden ist

111767
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 08:45 AM


Resolution


Problem

Die Palo Alto Networks Firewall lässt alle eingehenden Pakete fallen, die für eine öffentliche IP bestimmt sind, die nicht auf dem Gerät existiert, oder eine Route dafür im virtuellen Router haben. Die Konfiguration der NetzwerkAdresse-ÜberSetzung (NAT) für eine IP-Adresse, die nicht auf einer Schnittstelle auf der Firewall existiert, erfordert einen zusätzlichen Schritt.

 

Hinweis: für dieses Szenario wird davon ausgegangen, dass es eine Route für die angegebene IP-Adresse gibt, die für NAT durchgeführt werden soll, die auf die unvertrauens Schnittstelle der Firewall verweist. Diese wird in der Regel von einem Upstream-Gerät oder vom ISP abgewickelt und sorgt dafür, dass der Rück Verkehr korrekt an die unvertrauens Schnittstelle der Firewall zurückkehrt.

 

Lösung

Für dieses Thema gibt es drei mögliche Lösungen:

  1. Konfigurieren Sie eine Route für das Ziel IP, um über die Untrust-Schnittstelle zu gehen.
    Netzwerk > virtuelle Router > wählen Sie den virtuellen Router-Namen > statische Routen
    fügen Sie eine neue Route hinzu:
    doc-4034-1. png
    warum die falsche Route konfigurieren? Wenn das Paket auf der Palo Alto Network Firewall ankommt, wird eine Ebene-3-Suche durchgeführt. Das NAT findet statt, wenn die L3-Adresse behoben ist, wenn ein Ziel-NAT konfiguriert ist, dann wird ein weiteres L3-Lookup durchgeführt (da sich das Ziel geändert hat) und schließlich wird der Policy-Lookup gemacht. Wenn ein Paket für ein Reiseziel ankommt, das nicht auf der Palo Alto Network Firewall ist, und es keine Route dafür gibt, wird es fallen gelassen. Die Konfiguration der falschen Route verhindert, dass dies geschieht.

  2. Erstellen Sie eine sekundäre IP-Adresse im Netzwerk dieses neuen Zielortes NAT IP oder der IP selbst.
    Beispiel: Wenn 70.1.1.1/24 auf Ethernet1/3 (Untrust) ist und Destination NAT für 70.1.2.22 konfiguriert werden muss, fügen Sie entweder die IP-Adresse 70.1.2.22/32 oder eine IP im Netzwerk (70.1.2.1/24 zum Beispiel) als sekundäre IP auf der Untrust-Schnittstelle hinzu.
    Dies wird der Firewall sagen, dass dieses Netzwerk auf dieser Firewall existiert, und es wird wissen, wie man den Verkehr richtig zu leiten.

  3. Sie können die IP-Adresse auch auf eine Loopback-Schnittstelle anwenden, da dies die gleiche Funktion wie das Hinzufügen einer sekundären IP auf einer Schnittstelle erfüllen wird.

 

NAT Rules Konfiguration

Bi-direktionale NAT:

  • Konfigurieren Sie eine falsche Route, damit diese IP über die Untrust-Schnittstelle geht.
  • NAT Details

Quell Zone: Vertrauen

Dest Zone: Unvertrauen

Quelle IP: Private IP

Dest IP: Public IP (das nicht unter dem Untrust Subnet steht)

 

Destination NAT:

  • Konfigurieren Sie eine falsche Route, damit diese IP über die Untrust-Schnittstelle geht.
  • NAT Details

Quelle-Zone: Vertraulichkeit

Dest Zone: Unvertrauen

Dest IP: Public IP

Die schönste ÜberSetzung: Private IP

 

Besitzer: Jdelio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGZCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language