DotW: Unerwarteter Proxy ARP von der NAT Policy

In der Diskussion der Woche in dieser Woche werden wir uns eine Bemerkung des Nutzers msullivan über Proxy ARP und sein erwartetes Verhalten genauer ansehen.

Je nachdem, wie NAT auf der Palo Alto Networks Firewall konfiguriert ist, kann Proxy ARP anders agieren:

Wenn eine generische "Hide"-NAT (many to One)-Richtlinie konfiguriert ist, ist die einfachste Option, die Übersetzungs Aktion auf Dynamic-IP-und-Port zu setzen und die externe Schnittstelle auszuwählen.

Auch wenn die Schnittstelle möglicherweise mit einer Subnetzmaske konfiguriert wurde, schränkt die NAT-Regel alle ausgehenden NAT ein, die hinter der Oberfläche der Firewall als a/32-Subnetz übersetzt werden sollen. Der Vorteil ist, dass diese Art von Regel einfach zu konfigurieren ist und die MAC-Adresse bereits durch den Upstream-Router durch einfache Übertragung bekannt sein sollte, da die Schnittstelle auf ARP-Anfragen für die konfigurierte IP-Adresse reagiert.

Diese Richtlinie wird einfach alle Sessions von Trust zu Untrust hinter 198.51.100.241 übersetzen und einen zufälligen Quellport zuweisen.

Die Dinge ändern sich, wenn die Schnittstelle nicht als "Übersetzungs Vorlage" ausgewählt wird, sondern ein freies Subnetz vom Administrator eingegeben wird.