Impossible de Pinger l'adresse de non-confiance, mais capable de ping IPS publique à partir de l'adresse de non-confiance
Resolution
Demande client
Le pare-feu de Palo Alto Networks dispose d'une interface configurée pour une adresse ISP (ISP1) dans la zone de non-confiance. Cette adresse ISP n'est pas accessible à partir de toute adresse IP publique (x. x. x. x) provenant de la zone de non-confiance. Toutefois, quand un ping est source de l'adresse ISP1 à x. x. x. x, il fonctionne très bien.
Cause
Il existe une règle nat sur le pare-feu de Palo Alto Networks de la zone source de la méfiance à la zone de destination de la méfiance, qui NAT tout le trafic source à l'adresse ISP1. Lorsque le trafic vient de x. x. x. x à ISP1, le x. x. x. x est nated à l'adresse ISP1 car il est la méfiance à la méfiance du trafic. Le pare-feu voit le trafic venant de ISP1 et destiné à ISP1, et donc tombe le trafic comme une attaque terrestre.
Lorsque le trafic est source de ISP1 à x. x. x. x, le trafic est source nated comme adresse ISP1 et atteint l'Internet comme ISP1. Ainsi, le même comportement n'est pas observé.
Résolution
Supprimez la règle nat qui traduit le trafic provenant de n'importe quelle adresse IP publique dans la zone de non-confiance qui est destiné à la zone de non-confiance comme adresse du FAI sur le pare-feu de Palo Alto Networks (ISP1, dans ce cas).
propriétaire: younes