Cómo configurar NAT para una red no conectada al firewall

Cómo configurar NAT para una red no conectada al firewall

111803
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 08:45 AM


Resolution


Incidencia

El cortafuegos de Palo Alto Networks elimina los paquetes entrantes destinados a una IP pública que no existe en el dispositivo o que tiene una ruta para él en el enrutador virtual. La configuración de la traducción de direcciones de red (NAT) para una dirección IP que no existe en ninguna interfaz del cortafuegos requiere un paso adicional.

 

Nota: para este escenario, se supone que hay una ruta para la dirección IP especificada que se debe realizar para NAT que apunta a la interfaz de desconfianza del cortafuegos. Normalmente, esto es manejado por un dispositivo upstream o por el ISP, y asegura que el tráfico de retorno se devuelva correctamente a la interfaz de desconfianza del cortafuegos.

 

Resolución

Hay tres posibles soluciones para este problema:

  1. Configure una ruta para que la IP de destino pase a través de la interfaz Untrust.
    Red > enrutadores virtuales > elegir el nombre del router virtual > rutas estáticas
    añada una nueva ruta:
    doc-4034-1. png
    ¿por qué configurar la ruta falsa? Cuando el paquete llega al firewall de red palo alto, se realiza una búsqueda de capa 3. La NAT se realiza cuando se resuelve la dirección L3, si se configura un NAT de destino, se realiza otra búsqueda L3 (como el destino ha cambiado) y finalmente se realiza la búsqueda de directivas. Si un paquete llega a un destino que no está en el Firewall de la red palo alto, y no hay ruta para ello, será soltado. La configuración de la ruta falsa impide que esto suceda.

  2. Crear una dirección IP secundaria en la red de este nuevo destino NAT IP o la propia IP.
    Ejemplo: Si 70.1.1.1/24 está en Ethernet1/3 (Untrust), y NAT de destino necesita ser configurado para 70.1.2.22, agregue la dirección IP 70.1.2.22/32, o una IP en la red (70.1.2.1/24 por ejemplo) como una IP secundaria en la interfaz Untrust.
    Esto le dirá al firewall que esta red existe en este firewall, y sabrá cómo enrutar el tráfico correctamente.

  3. También puede aplicar la dirección IP a una interfaz de bucle invertido, ya que esto logrará la misma función que agregar una IP secundaria en una interfaz.

 

Configuración de reglas de NAT

NAT bidireccional:

  • Configure una ruta falsa para que la IP pase a través de la interfaz Untrust.
  • Detalles de NAT

Zona de origen: confianza

Dest Zone: desconfianza

IP de origen: IP privada

Dest IP: IP pública (que no está bajo la subred Untrust)

 

NAT de destino:

  • Configure una ruta falsa para que la IP pase a través de la interfaz Untrust.
  • Detalles de NAT

Fuente Zone: Untrust

Dest Zone: desconfianza

Dest IP: IP pública

Dest Translation: IP privada

 

Propietario: jdelio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGZCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language