DotW: inesperado proxy ARP de la Directiva NAT

En la discusión de esta semana de la semana, vamos a estar tomando una mirada más cercana a un comentario publicado por el usuario msullivan sobre el proxy ARP y su comportamiento esperado.

Dependiendo de la forma en que NAT está configurado en el cortafuegos de Palo Alto Networks, proxy ARP puede actuar de manera diferente:

Cuando se configura una directiva genérica ' Hide ' (muchas a una), la opción más sencilla es establecer la acción de traducción en Dynamic-IP-and-Port y seleccionar la interfaz externa.

Aunque la interfaz se haya configurado con una máscara de subred, la regla NAT limitará todos los NAT salientes que se traducirán detrás de la IP de la interfaz del cortafuegos como subred a/32. La ventaja es que este tipo de regla es fácil de configurar y la dirección Mac ya debe ser conocida por el router upstream por simple difusión, ya que la interfaz responderá a las solicitudes de ARP para su dirección IP configurada.

Esta Directiva simplemente traducirá todas las sesiones de confianza a desconfianza detrás de 198.51.100.241 y asignará un puerto de origen aleatorio.

Las cosas cambian si la interfaz no está seleccionada como ' plantilla de traducción ', pero el administrador introduce una subred gratuita.