DotW: NAT ポリシーから予期しないプロキシ ARP

週の今週の議論では、我々は、プロキシ ARP とその期待される動作に関するユーザー msullivan によって投稿された発言を詳しく見ていきます。

NAT がパロ・アルト・ネットワーク・ファイアウォールで構成される方法によって、プロキシー ARP は、異なる行動をするかもしれません:

一般的な「非表示」の NAT (多 ~ 一) ポリシーが構成されている場合、最も簡単な方法は、変換アクションを動的 ip/ポートに設定し、外部インターフェイスを選択することです。

インターフェイスがサブネットマスクで構成されている場合でも、nat 規則によって、ファイアウォールのインターフェイス IP の背後にあるすべての送信 nat が/32 サブネットとして変換されるように制限されます。利点は、このタイプのルールは、構成が容易であり、MAC アドレスは、インターフェイスがその構成された IP アドレスの ARP 要求に応答するように、単純なブロードキャストによって上流のルータによってすでに知られているべきであるということです。

このポリシーは、すべてのセッションを信頼から198.51.100.241 の背後にある untrust に変換し、ランダムな送信元ポートを割り当てるだけです。

インタフェースが「翻訳テンプレート」として選択されていないが、管理者によってフリーサブネットが入力されている場合、物事は変わる。