Comment faire pour configurer NAT pour un réseau non connecté au pare-feu
Resolution
Demande client
Le pare-feu de Palo Alto Networks supprime tous les paquets entrants destinés à une adresse IP publique qui n'existe pas sur le périphérique ou qui ont un itinéraire pour elle dans le routeur virtuel. La configuration de la traduction d'adresses réseau (NAT) pour une adresse IP qui n'existe pas sur une interface du pare-feu nécessite une étape supplémentaire.
Remarque: pour ce scénario, il est supposé qu'il existe un itinéraire pour que l'ADRESSE IP spécifiée s'exécute pour nat qui pointe vers l'interface de non-confiance du pare-feu. Cela est normalement géré par un périphérique en amont ou par le FAI, et garantit que le trafic retour retourne correctement à l'interface de non-confiance du pare-feu.
Résolution
Il existe trois solutions possibles pour ce problème:
- Configurez un itinéraire pour que l'IP de destination passe par l'interface de non-confiance.
Réseau > routeurs virtuels > choisissez le nom du routeur virtuel > itinéraires statiques
Ajouter un nouvel itinéraire:
pourquoi configurer la fausse route? Quand le paquet arrive sur le pare-feu de réseau de Palo Alto, une recherche de couche 3 est faite. Le NAT se produit lorsque l'adresse L3 est résolue, si un NAT de destination est configuré, une autre recherche L3 est effectuée (comme la destination a changé) et enfin la recherche de stratégie est effectuée. Si un paquet arrive pour une destination qui n'est pas sur le pare-feu de réseau de Palo Alto, et il n'y a aucun itinéraire pour lui, il sera abandonné. La configuration de la fausse route empêche que cela se produise. - Créer une adresse IP secondaire sur le réseau de cette nouvelle destination NAT IP ou l'IP elle-même.
Exemple: si 70.1.1.1/24 est sur ethernet1/3 (non-Trust) et que le NAT de destination doit être configuré pour 70.1.2.22, ajoutez l'adresse IP 70.1.2.22/32 ou une propriété intellectuelle dans le réseau (70.1.2.1/24 par exemple) en tant qu'ADRESSE IP secondaire sur l'interface de non-confiance. Cela indiquera
au pare-feu que ce réseau existe sur ce pare-feu, et il saura comment acheminer le trafic correctement. - Vous pouvez également appliquer l'adresse IP à une interface de bouclage, car cela permettra d'accomplir la même fonction que l'ajout d'une adresse IP secondaire sur une interface.
Configuration des règles NAT
NAT bi-directionnel:
- Configurez un faux itinéraire pour que l'adresse IP passe par l'interface de non-confiance.
- NAT détails
Zone source: Trust
Zone dest: Untrust
IP source: IP privée
IP dest: IP publique (qui n'est pas sous le sous-réseau de non-confiance)
Destination NAT :
- Configurez un faux itinéraire pour que l'adresse IP passe par l'interface de non-confiance.
- NAT détails
Zone source : Untrust
Zone dest: Untrust
IP dest: IP publique
Traduction dest: Private IP
propriétaire : jdelio