IP dynamique et NAT de port pour le trafic ICMP
Resolution
Vue d’ensemble
La traduction dynamique d'ip et de port (pend) est dédiée au trafic TCP et UDP connexe uniquement, et non à d'autres protocoles IP. La raison en est que les protocoles IP purs, tels que ICMP, n'utilisent pas d'en-tête L4 qui contient les ports source et de destination. D'autre part, le protocole ICMP est largement utilisé dans le réseautage comme un test de connectivité simple (soit comme PING ou traceroute). Un scénario courant dans les réseaux d'entreprise est que la traduction par immersion simple est utilisée pour tous les LAN au trafic Internet, puisque cette approche consomme moins d'espace d'adressage IP. Par conséquent, le trafic ICMP sera également atteint la même stratégie de trempage NAT.
Détails
Pour traduire le trafic ICMP, le pare-feu Palo Alto Networks prend les champs ID et Sequence de L'en-tête ICMP et les traite de la même manière (en interne) comme S'il s'agissait de ports. Cela utilise le champ D'Identification en tant que référence de port source et champ de séquence comme référence de port de destination. Lorsque la réponse d'écho ICMP arrive sur le pare-feu, elle est traduite en fonction des valeurs trouvées dans le champ séquence et ID de son en-tête ICMP.
Politique de trempage:
XP-200 {
de fiducie ;
source 192.168.247.0/24;
à Untrust ;
d’interface ;
destination tout ;
service tout/tous/toutes ;
translate-to ["SRC: 10.193.16.241 (Dynamic-IP-and-Port) (pool idx: 8)" "10.193.16.242 (Dynamic-IP-and-Port) (pool idx: 8)"];
borne n° ;
Exemple de paquet de requête d'écho ICMP envoyé par l'ordinateur hôte (tcpdump):
16:10:44.859384 IP (TOS 0x0, TTL 64, ID 40874, offset 0, Flags [DF], proto ICMP (1), longueur 84)
192.168.247.248 > 8.8.8.8: ICMP Echo Request, ID 22636, Seq 438, length 64
16:10:44.867042 IP (TOS 0x0, TTL 49, ID 0, offset 0, Flags [None], proto ICMP (1), longueur 84)
8.8.8.8 > 192.168.247.248: ICMP Echo réponse, ID 22636, Seq 438, length 64
Session est installé sur le pare-feu pour ce trafic ICMP:
> Show session tous filtre destination 8.8.8.8 protocole 1 source 192.168.247.248
------------------------------------------------------------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/Zone/Proto (traduit IP [port]) VSys DST [dport]/zone (traduit IP [port])
------------------------------------------------------------------------------------------------------------------------------------
240674 ping ACTIVE FLOW NS 192.168.247.248 [22636]/Trust/1 (10.193.16.241 (22636)) vsys1 8.8.8.8 [438]/Untrust (8.8.8.8 [438])
La session est traduite à l'Aide des champs d'Identification et de séquence de L'en-tête ICMP:
> Show session ID 240674
Session 240674
C2S flux :
Source: 192.168.247.248 [Trust]
DST: 8.8.8.8
proto : 1
sport: 22636 dport: 438
État: INIT type: FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
S2C flux :
Source: 8.8.8.8 [Untrust]
DST: 10.193.16.241
proto : 1
sport: 438 dport: 22636
État: INIT type: FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
heure de début: Wed May 14 17:13:02 2014
délai d'attente: 6 sec
total des octets count(c2s) : 98
total des octets count(s2c) : 98
layer7 paquet count(c2s) : 1
layer7 paquet count(s2c) : 1
VSys: vsys1
application: ping
règle: ANY-ANY
session d’être connecté à la fin : vrai
session en ager session : faux
session synchronisée de HA homologue : faux
adresse/port translation : source + destination
NAT-règle: XP-200 (vsys1)
traitement layer7: activé
Activé le filtrage des URL : faux
session par l’intermédiaire de cookies syn : faux
session terminée sur l’hôte : faux
session traverse le tunnel : faux
session de portail captive : faux
interface d'infiltration: ethernet1/2
interface de sortie: ethernet1/3
règle de QoS de session: N/A (classe 4)
Firewall étape Tracker: vieilli
Étant donné que les numéros d'identificateur et de séquence ICMP sont tous les deux de 16 bits, la limitation en termes de nombre de traductions par IP est la même que pour le trafic TCP/UDP, ce qui signifie 65535 pour la source et 65535 pour la destination NAT. En outre, la limitation en termes de nombre de stratégies de trempage NAT appliquées au trafic UDP/TCP s'applique également au trafic ICMP puisqu'ils partagent le même espace mémoire.
propriétaire : djoksimovic