Direcciones NAT usando a ARP de interfaz incorrecto
Resolution
Incidencia
Se configura el firewall de Palo Alto con dos interfaces (Untrust y Web untrust) conectadas a la misma VLAN en un DMZ interruptor (corriente VRRP) y bidireccional que NAT estática se configura desde confianza a zonas Untrust. Cada vez que se reinicie el firewall, el Palo Alto Networks ARPs para algunas de las direcciones NAT usando la dirección MAC Web Untrust, a pesar de NAT reglas que especifican confianza Untrust. Quitar la bandera bi-direccional y crear manualmente la porción entrante de la regla NAT de confianza a Untrust resuelve el problema.
Resolución
Las reglas NAT bidireccional fueron creadas para simplificar la configuración de las reglas de NAT para los servidores que deben ser capaces de iniciar las sesiones salientes (donde la dirección de origen se traduce y también responder a las sesiones entrantes (donde la dirección de destino se traduce en paquetes entrantes). Para las sesiones entrantes, las reglas NAT bidireccional deben ser capaces de emparejar las conexiones provenientes de zonas internas o externas. Este requisito surge del hecho de que muchas empresas utilizan una entrada DNS solo por los servicios prestados a los usuarios internos y usuarios externos. Debido a este requisito, la regla NAT bidireccional creará una regla NAT estática fuente que contiene exactamente los criterios de partida especificados en la regla NAT (para sesiones salientes). También creará una regla NAT (uno que no se muestran en la configuración) para manejar el destino NAT (para sesiones entrantes). Esta regla usa una zona de fuente de 'Todo' lo que tráfico de interno usuarios (zona interna) y el tráfico de los usuarios externos (zona exterior) voluntad coincida con la regla NAT y por lo tanto, puede utilizar los servicios ofrecidos por ese servidor.
En este caso concreto, el dispositivo palo alto está utilizando ARP en la interfaz web-Untrust porque esa interfaz se puede utilizar para tener acceso al servidor que está siendo reparado por la regla NAT bidireccional. Esto es cierto porque las interfaces Untrust y Web-Untrust están en la misma subred. La regla NAT de destino crea automáticamente tiene una zona de fuente de 'Cualquier' por las razones descritas anteriormente. Si la configuración se cambia para utilizar dos reglas NAT separadas (una para fuente NAT para sesiones salientes) y otra de destino NAT para las sesiones entrantes puede evitarse este problema. Si la regla NAT de destino tiene una zona de la fuente que excluye Web Untrust, el firewall dejará ARP para la dirección de NAT'ed en la interfaz Untrust de Web.
Propietario: jnguyen