Unfähig, die Treuhand Adresse zu Ping, aber in der Lage, öffentliche IPS von der unvertrauens Adresse zu Ping
Resolution
Problem
Die Palo Alto Networks Firewall verfügt über eine Schnittstelle, die für eine ISP-Adresse (ISP1) in der Untrust Zone konfiguriert ist. Diese ISP-Adresse ist nicht von einer öffentlichen IP (x. x. x. x) aus der Untrust-Zone erreichbar. Wenn jedoch ein Ping von der ISP1-Adresse auf das x. x. x. x bezogen wird, funktioniert es gut.
Ursache
Es gibt eine NAT-Regel auf der Palo Alto Networks Firewall von Source Zone Untrust zu Destination Zone Untrust, die den gesamten quellverkehr an die ISP1-Adresse. Wenn der Traffic von x. x. x. x auf ISP1 kommt, wird der x. x. x. x an ISP1 Adresse niert, da es nicht vertrauensvoll ist, den Verkehr zu veruntrauen. Die Firewall sieht den Verkehr, der von ISP1 hereinkommt und zum ISP1 bestimmt ist, und lässt daher den Verkehr als Land Angriff fallen.
Wenn der Verkehr von der ISP1 auf x. x. x. x bezogen wird, wird der Verkehr als ISP1 Adresse niert und erreicht das Internet als ISP1. So wird das gleiche Verhalten nicht beobachtet.
Lösung
Entfernen Sie die NAT-Regel, die den Verkehr von jeder öffentlichen IP in der Untrust Zone übersetzt, die für die Untrust Zone bestimmt ist, wie die ISP-Adresse auf der Palo Alto Networks Firewall (ISP1, in diesem Fall).
Besitzer: achalla