ファイアウォールに接続されていないネットワークの NAT を構成する方法

問題

パロアルトネットワークファイアウォールは、デバイス上に存在しない、または仮想ルーターのルートを持っているパブリック IP 宛ての受信パケットをすべて削除します。ファイアウォール上の任意のインターフェイスに存在しない IP アドレスのネットワークアドレス変換 (NAT) を構成するには、追加の手順が必要です。

注: このシナリオでは、ファイアウォールの untrust インターフェイスを指す NAT に対して、指定された IP アドレスに対して実行するルートがあるものとします。これは通常、アップストリームデバイスまたは ISP によって処理され、リターントラフィックがファイアウォールの untrust インターフェイスに適切に返されるようにします。

解決方法

この問題には、次の3つの解決策が考えられます。

1. untrust インターフェイスを通過する宛先 IP のルートを構成します。
   ネットワーク > 仮想ルーター > 仮想ルーター名を選択する > 静的ルート
   新しいルートを追加する:
   
   なぜ偽ルートを構成するのか?パケットがパロアルトのネットワークファイアウォールに到着すると、レイヤ3ルックアップが行われます。nat は、l3 アドレスが解決されたときに行われ、宛先 nat が構成されている場合、別の l3 ルックアップが実行され (宛先が変更されたため)、最後にポリシールックアップが行われます。場合は、パケットは、パロアルトのネットワークファイアウォール上ではないの宛先に到着し、そこにはルートがない、それは削除されます。false ルートを構成すると、この現象が発生しなくなります。
   
   
2. この新しい宛先 NAT ip または ip 自体のネットワーク上にセカンダリ ip アドレスを作成します。
   例: 70.1.1.1/24 が Ethernet1/3 (Untrust) 上にあり、宛先 NAT を70.1.2.22 用に構成する必要がある場合は、ip アドレス 70.1.2.22/32、またはネットワーク内の ip (70.1.2.1/24 など) を Untrust インターフェイスのセカンダリ ip として追加します。これにより、この
   ファイアウォールにこのネットワークが存在することがファイアウォールに通知され、トラフィックを適切にルーティングする方法がわかります。
   
   
3. また、インターフェイスにセカンダリ ip を追加するのと同じ機能を実現するため、ip アドレスをループバックインターフェイスに適用することもできます。

NAT 規則の構成

双方向の NAT:

• Untrust インターフェイスを通過するために、その IP の誤ったルートを構成します。
• NAT の詳細

ソースゾーン: 信頼

Dest ゾーン: Untrust

ソース ip アドレス: プライベート ip アドレス

宛先 ip: パブリック ip (Untrust サブネットの下にはありません)

宛先 NAT:

• Untrust インターフェイスを通過するために、その IP の誤ったルートを構成します。
• NAT の詳細

ソース ゾーン: Untrust

Dest ゾーン: Untrust

宛先 ip アドレス: パブリック ip

Dest 翻訳: プライベート IP

所有者: jdelio