如何为未连接到防火墙的网络配置 NAT

问题

帕洛阿尔托网络防火墙会将任何输入的数据包丢弃到设备上不存在的公共 IP 上, 或者在虚拟路由器中没有路由。为不存在于防火墙上任何接口上的 IP 地址配置网络地址转换 (NAT) 需要额外的步骤。

注意: 对于这种情况, 假定有一个路由, 指定的 IP 地址为指向防火墙的不信任接口的 NAT 执行. 这通常由上游设备或 ISP 处理, 并确保返回通信正常返回到防火墙的不信任接口。

解决办法

此问题有三可能的解决方案:

1. 为目标 IP 配置路由以通过不信任接口。
   网络 > 虚拟路由器 >> 选择虚拟路由器名称 >> 静态路由
   添加新路由:
   
   为什么要配置错误路由？当数据包到达帕洛阿尔托网络防火墙时, 将完成3层查找. NAT 发生在 L3 地址被解析时, 如果目标 NAT 被配置, 则执行另一个 L3 查找 (由于目标已更改), 最后进行策略查找。如果一个数据包到达了没有在帕洛阿尔托网络防火墙上的目标, 而且没有路由, 它将被丢弃。配置错误路由可防止此情况发生。
   
   
2. 在这个新目标 NAT ip 或 ip 本身的网络上创建一个辅助 ip 地址。
   示例: 如果 70.1. 1.1/24 位于 Ethernet1/3 (不信任) 上, 并且需要为70.1.2.22 配置目标 NAT, 请将 ip 地址 70.1. 2.22/32, 或网络中的 ip (70.1. 2.1/24) 作为不信任接口上的辅助 IP。
   这将告诉防火墙这个网络存在于这个防火墙上, 它将知道如何正确路由通信.
   
   
3. 还可以将 IP 地址应用于环回接口, 因为这将完成与在接口上添加辅助 IP 相同的功能。

NAT 规则配置

双向 NAT:

• 配置该 IP 的错误路由以通过不信任接口。
• NAT 详细信息

源区域: 信任

工作台区: 不信任

来源 ip: 私有 ip

ip: 公共 ip (不在不信任子网下)

NAT 的目的地：

• 配置该 IP 的错误路由以通过不信任接口。
• NAT 详细信息

源区： 不信任

工作台区: 不信任

ip: 公共 ip

工作台翻译: 专用 IP

所有者： jdelio