使用 ARP 从错误接口的 NAT 地址

问题

帕洛阿尔托防火墙配置两个接口 （看和 Web 不信任） 连接到 DMZ 开关 (运行 VRRP) 和双向静态 NAT 配置从信任到看区域所在的同一 VLAN。每当重新启动防火墙，帕洛阿尔托网络 ARPs 对于一些使用了 Web 看 MAC 地址，尽管 NAT NAT 地址规则，指定对看的信任。  删除双向标记和手动创建 NAT 规则的入站的部分从信任到看解决的问题。

解决办法

双向 NAT 规则被为了简化 NAT 规则必须能够启动出站会话 （源地址翻译，也响应入站会话 （因为目标地址翻译的服务器的配置传入的数据包）。对于入站会话，双向 NAT 规则必须能够匹配来自内部或外部区域的连接。这项规定源于事实，很多公司利用单个 DNS 条目为内部用户和外部用户提供服务。这项规定双向 NAT 规则将创建一个静态源 NAT 规则完全包含 （对于出站会话） NAT 规则中指定的匹配条件。它还将创建一个 NAT 规则 （不会显示在配置文件中的一个） 来处理目标 NAT （对于入站会话）。此规则使用从内部交通源区的 '任何' 那么用户 （内部区域） 与交通从外部用户 （外部区域） 将匹配 NAT 规则，因此可利用该服务器所提供的服务。

在这个特定的情况下, 帕洛阿尔托设备在 Web 不信任接口上使用 ARP, 因为该接口可用于访问由双向 NAT 规则服务的服务器. 这是真实的因为看和 Web 看接口位于同一子网。自动创建的目标 NAT 规则有源区的 '任何' 为上文所述的原因。如果配置被更改为目标 NAT 使用两个单独的 NAT 规则 （一个用于源 NAT 为出站会话），另一个用于入站会话可以避免该问题。如果目的地 NAT 规则已排除 Web 不信任源区，防火墙将不再 ARP 为 Web 不信任接口上的 NAT'ed 地址。

所有者： jnguyen