不適切なインターフェイスの ARP を使用した NAT アドレス
Resolution
問題
パロ ・ アルトのファイアウォールは、静的 NAT は信頼から信頼ゾーンに構成された DMZ スイッチ (実行中 VRRP) と双方向の同じ VLAN に接続されている 2 つのインターフェイス (信頼および Web untrust) で構成されます。ファイアウォールを再起動すると、NAT にもかかわらず、Web/しない MAC アドレスを使用して NAT アドレスのいくつかのパロ ・ アルト ネットワーク Arp の信頼に信頼を指定する規則します。 双方向フラグを削除して、手動で信頼する信頼から NAT ルールの受信部分を作成する問題を解決します。
解決方法
アウト バウンド ・ セッション (ソース アドレス翻訳は、着信セッション (、宛先アドレスは変換にも対応を開始することができる必要がありますサーバーの NAT ルールの構成を簡素化する双方向 NAT 規則が作成されて着信パケット)。着信セッションの双方向 NAT ルールは、内部または外部のゾーンからの接続に一致できる必要があります。この要件は、内部ユーザーと外部ユーザーに提供するサービスのための単一の DNS エントリを多くの企業に活用という事実から生じています。この要件のため双方向 NAT ルールはまさに (アウト バウンド ・ セッション) の NAT ルールで指定された条件を満たすを含む静的なソース NAT 規則を作成します。それはまた (設定で表示されていないいずれか) NAT ルールを作成します (着信セッション) の宛先 NAT を処理します。このルールは、内部からのトラフィック '、' そんなのソースのゾーンを使用してユーザー (内部ゾーン) と外部ユーザー (外部ゾーン) からトラフィックの NAT 規則に一致可能性がありますそのためそのサーバーが提供するサービスを利用します。
この特定のケースでは、パロアルトデバイスは、そのインターフェイスは、双方向の NAT ルールによってサービスされているサーバーにアクセスするために使用することができるので、Web Untrust インターフェイス上で ARP を使用しています。信頼と信頼 Web インタ フェースが同じサブネット上にあるために、これは当てはまります。自動的に作成される宛先 NAT ルールのソース ゾーンがある上記の理由で ' ANY'。着信セッションの宛先 NAT の 2 つの個別 NAT 規則 (送信元 NAT のアウト バウンド ・ セッションと別) を使用して構成を変更した場合は、この問題を回避することができます。宛先 NAT 規則に Web Untrust を含まないソース ゾーンがある場合、Web Untrust インターフェイスの NAT'ed アドレスのファイアウォールは、もはや ARP を兼ねます。
所有者: jnguyen