DotW: 来自 NAT 策略的意外代理 ARP

在本周的讨论中, 我们将仔细查看用户 msullivan 发布的关于代理 ARP 及其预期行为的备注。

根据在帕洛阿尔托网络防火墙上配置 NAT 的方式, 代理 ARP 可能会有不同的行为:

配置通用 "隐藏" NAT (多到一个) 策略时, 最直接的选项是将平移操作设置为动态 ip 和端口, 然后选择外部接口。

尽管接口可能已配置了子网掩码, 但 NAT 规则将限制所有出站 NAT, 以作为/32 子网在防火墙的接口 IP 后面进行转换。其优点是, 此类规则易于配置, 而 MAC 地址应该已经由上游路由器通过简单的广播知道, 因为接口将响应其配置的 IP 地址的 ARP 请求。

此策略将简单地将所有会话从信任转换为不信任后面的 198.51.100.241, 并分配一个随机的源端口。

如果接口未被选择为 "翻译模板", 但管理员输入的是免费子网, 则情况会发生变化。