Untrust アドレスに ping を行うことはできませんが、Untrust アドレスからパブリック ip に ping を行うことができます

問題

パロアルトネットワークファイアウォールには、Untrust ゾーンの ISP アドレス (ISP1) 用に構成されたインターフェイスがあります。この ISP アドレスは、untrust ゾーンからのパブリック IP (x.25. x. x) からは到達できません。ただし、ping が ISP1 アドレスから x. x. x に供給されると、正常に動作します。

原因

ソースゾーン Untrust から宛先ゾーン Untrust へのパロアルトネットワークファイアウォール上の nat ルールがあります, ISP1 アドレスへのすべてのソーストラフィックを nat. x. x. x から ISP1 へのトラフィックが入ってくると、NATed は Untrust トラフィックに Untrust されているため、ISP1 アドレスにアクセスできます。ファイアウォールは、ISP1 から来て、ISP1 に運命のトラフィックを見て、それゆえ、土地の攻撃としてのトラフィックをドロップします。

トラフィックが ISP1 から x.400 に送信されると、トラフィックは ISP1 アドレスとしてソース NATed になり、ISP1 としてインターネットに到達します。これにより、同様の動作が認められない。

解決方法

Untrust ゾーン宛ての Untrust ゾーンにあるパブリック IP からのトラフィックを、パロアルトネットワークファイアウォールの ISP アドレスとして変換する NAT ルールを削除します (この場合は ISP1)。

所有者: achalla