Adresses NAT à l’aide de ARP de l’Interface mal
Resolution
Demande client
Le Palo Alto pare-feu est configuré avec deux interfaces (Untrust et Web-untrust) connectés au même VLAN sur un switch DMZ (VRRP en cours d’exécution) et bidirectionnel que NAT statiques est configurés de confiance aux zones Untrust. Chaque fois que le pare-feu est redémarré, le Palo Alto Networks ARPs pour certains des adresses NAT à l’aide de l’adresse MAC de la Web-Untrust, malgré NAT règles qui spécifient la confiance à Untrust. Le drapeau de bi-directionelle et créer manuellement la partie entrante de la règle NAT de confiance à Untrust résout le problème.
Résolution
Bi-directional NAT règles ont été créées pour simplifier la configuration des règles NAT pour les serveurs qui doivent être capables d’initier des sessions sortantes (où l’adresse source est traduite et répondre également aux sessions entrantes (où l’adresse de destination est traduite dans paquets entrants). Pour les sessions entrantes, règles NAT bidirectionnelle doivent être capables de faire correspondre les connexions en provenance de zones internes ou externes. Cette exigence découle du fait que beaucoup d’entreprises utilise une seule entrée DNS pour les services fournis aux utilisateurs internes et les utilisateurs externes. En raison de cette exigence, la règle NAT bidirectionnel va créer une règle NAT statique de source qui contient exactement les critères de correspondance spécifiés dans la règle NAT (pour les sessions sortantes). Il va également créer une règle NAT (celle qui ne figure pas dans la config) pour gérer la destination NAT (pour les sessions entrantes). Cette règle utilise une zone source de « Tout » alors que le trafic intérieur utilisateurs (zone interne) et trafic des utilisateurs externes (zone externe) volonté correspondent à la règle NAT et peut donc utiliser les services offerts par ce serveur.
Dans ce cas particulier, le périphérique Palo Alto utilise ARP sur l'interface Web-Untrust, car cette interface peut être utilisée pour accéder au serveur en cours de maintenance par la règle NAT bi-directionnelle. C’est vrai parce que les interfaces Untrust et Web-Untrust sont sur le même sous-réseau. La règle NAT de destination automatiquement créée dispose d’une zone source de « ANY » pour les raisons décrites ci-dessus. Si la configuration ont été modifiée afin d’être à l’aide de deux règles NAT distinctes (une pour source NAT pour les sessions sortantes) et l’autre pour destination NAT pour les sessions entrantes, ce problème peut être évité. Si la règle NAT de destination possède une zone source qui exclut Web-Untrust, le pare-feu ne pourront plus ARP pour l’adresse de NAT'ed sur l’interface Web-Untrust.
propriétaire : jnguyen