ICMP トラフィック用の動的 IP およびポート NAT
Resolution
概要
動的 ip およびポート (DIPP) 変換は、TCP および UDP 関連のトラフィック専用であり、他の ip プロトコルには関係ありません。その理由は、ICMP などの純粋な IP プロトコルでは、送信元ポートと転送先港を含む L4 ヘッダーを使用しないためです。一方、ICMP プロトコルは、単純な接続性テスト (PING または Traceroute) としてネットワークで広く使用されています。エンタープライズネットワークの一般的なシナリオでは、単一の DIPP 変換がすべての LAN からインターネットへのトラフィックに使用されるため、そのアプローチは IP アドレス空間を消費することが少なくなります。したがって、ICMP トラフィックも同じ DIPP NAT ポリシーにヒットします。
詳細
icmp トラフィックを変換するために、パロアルトネットワークファイアウォールは、icmp ヘッダーから ID とシーケンスフィールドを受け取り、それらをポートであるかのように (内部的に) 同じように扱います。これは、送信先ポート参照として、id フィールドをソースポート参照およびシーケンスフィールドとして使用します。icmp エコー応答がファイアウォールに届くと、icmp ヘッダーのシーケンスと ID フィールドにある値に基づいて変換されます。
DIPP ポリシー:
XP-200 {
信頼から
ソース 192.168.247.0/24;
/しません。
インタ フェースに
コピー先。
サービス/すべて/任意;
翻訳する ["src: 10.193.16.241 (動的 ip とポート) (プール idx: 8)" "10.193.16.242 (動的 ip とポート) (プール idx: 8)"];
ターミナルなし。
ホストマシン (tcpdump) から送信された ICMP エコー要求パケットの例:
16:10: 44.859384 IP (tos 0x0、ttl 64、id 40874、オフセット0、フラグ [DF]、原始 ICMP (1)、長さ 84)
192.168.247.248 > 8.8.8.8: ICMP エコー要求、id 22636、配列438、長さ 64
16:10: 44.867042 IP (tos 0x0、ttl 49、id 0、オフセット0、フラグ [なし]、原始 ICMP (1)、長さ 84)
8.8.8.8 > 192.168.247.248: ICMP エコー応答、id 22636、配列438、長さ 64
セッションは、この ICMP トラフィックのファイアウォールにインストールされます。
> セッションを表示すべてのフィルタ宛先8.8.8.8 プロトコル1ソース192.168.247.248
------------------------------------------------------------------------------------------------------------------------------------
ID アプリケーションの状態の種類フラグ Src [スポーツ]/Zone/Proto (翻訳 ip [ポート]) Vsys Dst [Dport]/Zone (変換された ip アドレス [ポート])
------------------------------------------------------------------------------------------------------------------------------------
240674 ping アクティブフロー NS 192.168.247.248 [22636]/Trust/1 (10.193.16.241 (22636]) vsys1 8.8.8.8 [438]/Untrust (8.8.8.8 [438])
ICMP ヘッダーの id とシーケンスフィールドを使用して、セッションが変換されています。
> セッション id 240674 を表示
セッション240674
c2s の流れ:
出典: 192.168.247.248 [信託]
dst: 8.8.8.8
プロト: 1
スポーツ: 22636 dport: 438
状態: INIT タイプ: フロー
src ユーザー: 未知
dst ユーザー: 未知
s2c フロー:
出典: 8.8.8.8 [Untrust]
dst: 10.193.16.241
プロト: 1
スポーツ: 438 dport: 22636
状態: INIT タイプ: フロー
src ユーザー: 未知
dst ユーザー: 未知
開始時間: 水5月 14 17:13:02 2014
タイムアウト: 6 秒
合計バイト count(c2s): 98
合計バイト count(s2c): 98
layer7 パケット count(c2s): 1
layer7 パケット count(s2c): 1
vsys: vsys1
アプリケーション: ping
ルール: 任意の-任意の
最後に記録されるセッション: 真
セッションでセッション: False
HA ピアから同期セッション: False
アドレス/ポート変換: 元 + 転送先
nat ルール: XP-200 (vsys1)
layer7 処理: 有効
URL フィルターを有効に: False
syn クッキーを介してセッション: False
ホスト セッションを終了: False
セッションは、トンネルを通過する: False
非脱落型ポータル セッション: False
進入インタフェース: ethernet1/2
出口インターフェイス: ethernet1/3
セッション QoS ルール: N/A (クラス 4)
トラッカーステージファイアウォール: エージングアウト
ICMP 識別子とシーケンス番号は両方とも16ビット長であるため、IP あたりの翻訳数の制限は TCP/UDP トラフィックと同じですが、これはソースの65535と宛先 NAT の65535を意味します。また、UDP/TCP トラフィックに適用される NAT DIPP ポリシーの数の制限は、同じメモリ領域を共有しているため、ICMP トラフィックにも当てはまります。
所有者: djoksimovic