ファイアウォールに接続されていないネットワークの NAT を構成する方法
111797
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 08:45 AM
Resolution 問題
パロアルトネットワークファイアウォールは、デバイス上に存在しない、または仮想ルーターのルートを持っているパブリック IP 宛ての受信パケットをすべて削除します。ファイアウォール上の任意のインターフェイスに存在しない IP アドレスのネットワークアドレス変換 (NAT) を構成するには、追加の手順が必要です。
注 : このシナリオでは、ファイアウォールの untrust インターフェイスを指す NAT に対して、指定された IP アドレスに対して実行するルートがあるものとします。これは通常、アップストリームデバイスまたは ISP によって処理され、リターントラフィックがファイアウォールの untrust インターフェイスに適切に返されるようにします。
解決方法
この問題には、次の3つの解決策が考えられます。
untrust インターフェイスを通過する宛先 IP のルートを構成します。 ネットワーク > 仮想ルーター > 仮想ルーター名を選択する > 静的ルート 新しいルートを追加する: なぜ偽ルートを構成するのか?パケットがパロアルトのネットワークファイアウォールに到着すると、レイヤ3ルックアップが行われます。nat は、l3 アドレスが解決されたときに行われ、宛先 nat が構成されている場合、別の l3 ルックアップが実行され (宛先が変更されたため)、最後にポリシールックアップが行われます。場合は、パケットは、パロアルトのネットワークファイアウォール上ではないの宛先に到着し、そこにはルートがない、それは削除されます。false ルートを構成すると、この現象が発生しなくなります。 この新しい宛先 NAT ip または ip 自体のネットワーク上にセカンダリ ip アドレスを作成します。 例: 70.1.1.1/24 が Ethernet1/3 (Untrust) 上にあり、宛先 NAT を70.1.2.22 用に構成する必要がある場合は、ip アドレス 70.1.2.22/32、またはネットワーク内の ip (70.1.2.1/24 など) を Untrust インターフェイスのセカンダリ ip として追加します。これにより、このファイアウォールにこのネットワークが存在することがファイアウォールに通知され、トラフィック を適切にルーティングする方法がわかります。 また、インターフェイスにセカンダリ ip を追加するのと同じ機能を実現するため、ip アドレスをループバックインターフェイスに適用することもできます。
NAT 規則の構成
双方向の NAT:
Untrust インターフェイスを通過するために、その IP の誤ったルートを構成します。 NAT の詳細
ソースゾーン: 信頼
Dest ゾーン: Untrust
ソース ip アドレス: プライベート ip アドレス
宛先 ip: パブリック ip (Untrust サブネットの下にはありません)
宛先 NAT:
Untrust インターフェイスを通過するために、その IP の誤ったルートを構成します。 NAT の詳細
ソース ゾーン: Untrust
Dest ゾーン: Untrust
宛先 ip アドレス: パブリック ip
Dest 翻訳: プライベート IP
所有者: jdelio