No se puede hacer ping a la dirección de desconfianza, pero es capaz de hacer ping a IPS públicas desde la dirección de desconfianza
Resolution
Incidencia
El cortafuegos de Palo Alto Networks tiene una interfaz configurada para una dirección ISP (ISP1) en la zona Untrust. Esta dirección del ISP no es accesible desde cualquier IP pública (x. x. x) que viene de la zona Untrust. Sin embargo, cuando se origina un ping desde la dirección ISP1 a la x. x. x, funciona bien.
Causa
Hay una regla NAT en el cortafuegos de Palo Alto Networks desde la zona de origen desconfianza a la zona de destino Untrust, que NATS todo el tráfico de origen a la dirección ISP1. Cuando el tráfico viene de x. x. x a ISP1, el x. x. x. x es nated a la dirección de ISP1, ya que no es de confianza para el tráfico de desconfianza. El cortafuegos Ve el tráfico que viene de ISP1 y destinado a ISP1, y por lo tanto cae el tráfico como un ataque de tierra.
Cuando el tráfico se origina desde el ISP1 a x. x. x. x, el tráfico es origen nated como ISP1 dirección y llega a Internet como ISP1. Por lo tanto, no se observa el mismo comportamiento.
Resolución
Elimine la regla NAT que traduce el tráfico procedente de cualquier IP pública de la zona de no confianza que está destinada a la zona de no confianza como la dirección del ISP en el cortafuegos de Palo Alto Networks (ISP1, en este caso).
Propietario: achalla