Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment faire pour configurer NAT pour un réseau non connecté a... - Knowledge Base - Palo Alto Networks

Comment faire pour configurer NAT pour un réseau non connecté au pare-feu

134892
Created On 09/25/18 17:36 PM - Last Modified 01/30/25 21:13 PM


Resolution


Demande client

Le pare-feu de Palo Alto Networks supprime tous les paquets entrants destinés à une adresse IP publique qui n'existe pas sur le périphérique ou qui ont un itinéraire pour elle dans le routeur virtuel. La configuration de la traduction d'adresses réseau (NAT) pour une adresse IP qui n'existe pas sur une interface du pare-feu nécessite une étape supplémentaire.

 

Remarque: pour ce scénario, il est supposé qu'il existe un itinéraire pour que l'ADRESSE IP spécifiée s'exécute pour nat qui pointe vers l'interface de non-confiance du pare-feu. Cela est normalement géré par un périphérique en amont ou par le FAI, et garantit que le trafic retour retourne correctement à l'interface de non-confiance du pare-feu.

 

Résolution

Il existe trois solutions possibles pour ce problème:

  1. Configurez un itinéraire pour que l'IP de destination passe par l'interface de non-confiance.
    Réseau > routeurs virtuels > choisissez le nom du routeur virtuel > itinéraires statiques
    Ajouter un nouvel itinéraire:
    doc-4034-1. png
    pourquoi configurer la fausse route? Quand le paquet arrive sur le pare-feu de réseau de Palo Alto, une recherche de couche 3 est faite. Le NAT se produit lorsque l'adresse L3 est résolue, si un NAT de destination est configuré, une autre recherche L3 est effectuée (comme la destination a changé) et enfin la recherche de stratégie est effectuée. Si un paquet arrive pour une destination qui n'est pas sur le pare-feu de réseau de Palo Alto, et il n'y a aucun itinéraire pour lui, il sera abandonné. La configuration de la fausse route empêche que cela se produise.

  2. Créer une adresse IP secondaire sur le réseau de cette nouvelle destination NAT IP ou l'IP elle-même.
    Exemple: si 70.1.1.1/24 est sur ethernet1/3 (non-Trust) et que le NAT de destination doit être configuré pour 70.1.2.22, ajoutez l'adresse IP 70.1.2.22/32 ou une propriété intellectuelle dans le réseau (70.1.2.1/24 par exemple) en tant qu'ADRESSE IP secondaire sur l'interface de non-confiance. Cela indiquera
    au pare-feu que ce réseau existe sur ce pare-feu, et il saura comment acheminer le trafic correctement.

  3. Vous pouvez également appliquer l'adresse IP à une interface de bouclage, car cela permettra d'accomplir la même fonction que l'ajout d'une adresse IP secondaire sur une interface.

 

Configuration des règles NAT

NAT bi-directionnel:

  • Configurez un faux itinéraire pour que l'adresse IP passe par l'interface de non-confiance.
  • NAT détails

Zone source: Trust

Zone dest: Untrust

IP source: IP privée

IP dest: IP publique (qui n'est pas sous le sous-réseau de non-confiance)

 

Destination NAT :

  • Configurez un faux itinéraire pour que l'adresse IP passe par l'interface de non-confiance.
  • NAT détails

Zone source : Untrust

Zone dest: Untrust

IP dest: IP publique

Traduction dest: Private IP

 

propriétaire : jdelio
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,482
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGZCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language