用于 ICMP 通信的动态 IP 和端口 NAT

概述

动态 IP 和端口 (托伦蒂诺·迪普) 翻译只专门用于 TCP 和 UDP 相关的通信, 而不适用于其他 IP 协议。原因是纯 IP 协议 (如 ICMP) 不使用包含源和目标端口的 L4 头。另一方面, ICMP 协议作为一个简单的连接测试 (无论是 PING 还是 Traceroute) 被广泛地应用于网络。企业网络中的一个常见情况是, 单个托伦蒂诺·迪普转换用于所有 LAN 到 internet 通信, 因为该方法占用的 IP 地址空间更少。因此, ICMP 通信也将命中相同的托伦蒂诺·迪普 NAT 策略。

详细

为了翻译 icmp 通信, 帕洛阿尔托网络防火墙从 ICMP 报头接收 ID 和序列字段, 并将它们与端口相同 (内部) 对待。这会使用标识字段作为源端口引用和序列字段作为目标端口引用。当 icmp 回送应答到达防火墙时, 它将根据在其 ICMP 报头的序列和 ID 字段中找到的值进行翻译。

托伦蒂诺·迪普政策:

XP-200 {

从信托;

来源 192.168.247.0/24;

对看;

向接口;

目的地任何;

服务/任何/任意;

翻译成 ["src: 10.193.16.241 (动态 ip 和端口) (池 idx: 8)" "10.193.16.242 (动态 ip 和端口) (池 idx: 8)"];

终端的无;

从主机发送的 ICMP 回送请求数据包示例 (tcpdump):

16:10:44.859384 IP (tos 0x0, ttl 64, id 40874, 偏移 0, 标志 [DF], 原始 ICMP (1), 长度 84)

192.168.247.248 >> 8.8.8.8: ICMP 回声请求, id 22636, 序列438, 长度 64

16:10:44.867042 IP (tos 0x0, ttl 49, id 0, 偏移 0, 标志 [无], 原始 ICMP (1), 长度 84)

8.8.8.8 >> 192.168.247.248: ICMP 回声回复, id 22636, 序列438, 长度 64

此 ICMP 通信的防火墙上安装了会话:

>> 显示会话所有筛选目标8.8.8.8 协议1源192.168.247.248

------------------------------------------------------------------------------------------------------------------------------------

ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 ip [端口]) Vsys Dst [Dport]/区域 (已翻译的 ip [端口])

------------------------------------------------------------------------------------------------------------------------------------

240674平活动流 NS 192.168.247.248 [22636]/信任/1 (10.193.16.241 (22636)) vsys1 8.8. 8.8 [438]/不信任 (8.8.8.8 [438])

正在使用 ICMP 报头中的标识和序列字段翻译会话:

>> 显示会话 id 240674

会话240674

c2s 流︰

来源: 192.168.247.248 [信托]

dst: 8.8.8。8

原型︰ 1

体育: 22636 dport: 438

状态: INIT 类型: 流

src 用户︰ 未知

dst 用户︰ 未知

s2c 流︰

来源: 8.8.8.8 [不信任]

dst: 10.193.16.241

原型︰ 1

体育: 438 dport: 22636

状态: INIT 类型: 流

src 用户︰ 未知

dst 用户︰ 未知

开始时间: 5月14日 (星期三) 17:13:02 2014

超时: 6 秒

总字节 count(c2s): 98

总字节 count(s2c): 98

layer7 包 count(c2s): 1

layer7 包 count(s2c): 1

vsys: vsys1

应用: 平

规则: 任何

会议结束时记录︰ 真实

会议在会议经理︰ 虚假

医管局对等方同步会话︰ 虚假

地址/端口翻译︰ 源 + 目的地

nat 规则: XP-200 (vsys1)

layer7 处理: 启用

已启用 URL 筛选︰ 虚假

通过 syn cookie 的会话︰ 虚假

在主机上终止会话︰ 虚假

会议遍历隧道︰ 虚假

圈养的门户会话︰ 虚假

入口接口: ethernet1/2

出口接口: ethernet1/3

会话 QoS 规则: N/A (类 4)

跟踪器阶段防火墙: 过时

由于 ICMP 标识符和序列号都是16位长, 因此每个 IP 的翻译数量限制与 TCP/UDP 通信量相同, 这意味着65535的源和65535用于目标 NAT。此外, 用于 UDP/TCP 通信的 NAT 托伦蒂诺·迪普策略的数量限制也适用于 ICMP 通信, 因为它们共享相同的内存空间。

所有者： djoksimovic