Dynamic IP und Port NAT für ICMP Traffic
Resolution
Übersicht
Die Dynamic IP und Port (DIPP) Übersetzung ist nur dem TCP und UDP-bezogenen Verkehr gewidmet, und nicht anderen IP-Protokollen. Der Grund dafür ist, dass reine IP-Protokolle, wie ICMP, keinen L4-Header verwenden, der Quell-und Zielports enthält. Auf der anderen Seite ist das ICMP-Protokoll in der Vernetzung als einfacher Konnektivitätstest (entweder als PING oder traceroute) weit verbreitet. EIN häufiges Szenario in Unternehmensnetzwerken ist, dass die Single DIPP-Übersetzung für alle LAN im Internet-Verkehr verwendet wird, da dieser Ansatz weniger IP-Adressraum verbraucht. Daher wird der ICMP-Verkehr auch die gleiche DIPP-NAT-Politik treffen.
Details
Um den ICMP-Traffic zu übersetzen, nimmt Palo Alto Networks Firewall die ID-und Sequenz Felder aus dem ICMP-Header und behandelt Sie gleich (intern), als wären Sie Ports. Dies verwendet das Identifikations Feld als Quell-Port-Referenz-und Sequenz Feld als Ziel-Port-Referenz. Wenn die ICMP-Echo-Antwort auf die Firewall gelangt, wird Sie auf der Grundlage der Werte übersetzt, die in der Sequenz und dem ID-Feld Ihres ICMP-Headers gefunden werden.
DIPP-Politik:
XP-200 {
von Vertrauen;
Quelle 192.168.247.0/24;
zum Sicherheitszertifikat;
an der Schnittstelle;
Ziel jeder;
Service jede/jeder/jede;
übersetzen-zu ["src: 10.193.16.241 (Dynamic-IP-and-Port) (Pool IDX: 8)" "10.193.16.242 (dynamisch-IP-and-Port) (Pool IDX: 8)"];
Klemme Nr.;
Ein Beispiel für ein ICMP-Echo-Anfrage Paket, das vom Host-Rechner (tcpdump) gesendet wird:
16:10:44.859384 IP (TOS 0x0, TTL 64, ID 40874, Offset 0, Flags [DF], proto ICMP (1), Länge 84)
192.168.247.248 > 8.8.8.8: ICMP Echo Request, ID 22636, FF 438, Länge 64
16:10:44.867042 IP (TOS 0x0, TTL 49, ID 0, Offset 0, Flaggen [none], proto ICMP (1), Länge 84)
8.8.8.8 > 192.168.247.248: ICMP Echo Reply, ID 22636, FF 438, Länge 64
Session ist auf der Firewall für diesen ICMP-Verkehr installiert:
> Session alle Filter Destination 8.8.8.8 Protokoll 1 Quelle 192.168.247.248
------------------------------------------------------------------------------------------------------------------------------------
ID-Anwendung Staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port]) Vsys DST [dport]/Zone (übersetzte IP [Port])
------------------------------------------------------------------------------------------------------------------------------------
240674 Ping ACTIVE FLOW NS 192.168.247.248 [22636]/Trust/1 (10.193.16.241 (22636]) vsys1 8.8.8.8 [438]/Untrust (8.8.8.8 [438])
Die Session wird mit Identifikations-und Sequenz Feldern aus dem ICMP-Header übersetzt:
> Session ID 240674
Session 240674
C2S fließen:
Quelle: 192.168.247.248 [Trust]
DST: 8.8.8.8
Proto: 1
Sport: 22636 dport: 438
Zustand: INIT-Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
S2C Durchfluss:
Quelle: 8.8.8.8 [Untrust]
DST: 10.193.16.241
Proto: 1
Sport: 438 dport: 22636
Zustand: INIT-Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Mi Mai 14 17:13:02 2014
Timeout: 6 sec
Byte count(c2s) Total: 98
Byte count(s2c) Total: 98
Layer7-Paket count(c2s): 1
Layer7-Paket count(s2c): 1
Vsys: vsys1
Anwendung: Ping
Regel: ANY
Sitzung am Ende angemeldet sein: wahr
Sitzung im Sitzung Ager: False
Sitzung von HA Peer synchronisiert: False
Adresse/Port Übersetzung: Quelle + Ziel
NAT-rule: XP-200 (vsys1)
layer7 processing: ermöglicht
URL-Filterung aktiviert: False
Sitzung über Syn-Cookies: False
Sitzung beendet auf Host: False
Sitzung Tunnel durchquert: False
Captive Portal Sitzung: False
Eindringen-Schnittstelle: Ethernet1/2
Egress-Schnittstelle: Ethernet1/3
Session QoS rule: N/A (Klasse 4)
Tracker Stage Firewall: gealtert
Da ICMP-Identifikator und Sequenznummern beide 16 Bit lang sind, ist die Beschränkung in Bezug auf die Anzahl der Übersetzungen pro IP die gleiche wie für TCP/UDP-Traffic, was 65535 für die Quelle und 65535 für Destination NAT bedeutet. Außerdem gilt die Beschränkung in Bezug auf die Anzahl der NAT-DIPP-Richtlinien, die auf UDP/TCP-Verkehr angewendet werden, auch für den ICMP-Verkehr, da Sie den gleichen Speicherplatz haben.
Besitzer: Djoksimovic