DotW: proxy inattendu ARP de la politique NAT

Dans la discussion de cette semaine de la semaine, nous allons examiner de plus près une remarque affichée par l'utilisateur msullivan concernant proxy ARP et son comportement attendu.

Selon la façon dont NAT est configuré sur le pare-feu de Palo Alto Networks, proxy ARP peut agir différemment:

Lorsqu'une stratégie générique «masquer» NAT (plusieurs à un) est configurée, l'option la plus simple consiste à définir l'action de traduction sur Dynamic-IP-and-port et à sélectionner l'interface externe.

Même si l'interface peut avoir été configurée avec un masque de sous-réseau, la règle NAT limitera tous les NAT sortants à traduire derrière l'IP de l'interface du pare-feu en tant que sous-réseau a/32. L'avantage est que ce type de règle est facile à configurer et l'adresse Mac doit déjà être connu par le routeur en amont par simple diffusion, que l'interface répondra aux demandes ARP pour son adresse IP configurée.

Cette stratégie va tout simplement traduire toutes les sessions de Trust à la méfiance derrière 198.51.100.241 et assigner un port source aléatoire.

Les choses changent si l'interface n'est pas sélectionnée comme un «modèle de traduction», mais un sous-réseau libre est entré par l'administrateur.