无法 ping 不信任地址, 但能够从不信任地址 ping 公共 IPs

问题

帕洛阿尔托网络防火墙为不信任区域中的 ISP 地址 (ISP1) 配置了一个接口。此 ISP 地址无法从来自不信任区域的任何公共 IP (x.x.x. X) 中访问。但是, 当 ping 从 ISP1 地址来源到 x.x.x. X 时, 它工作正常。

原因

在帕洛阿尔托网络防火墙上有一个 NAT 规则, 从源区域不信任到目标区域不信任, NATs 所有源通信到 ISP1 地址。当流量从 x.x.x. x 到 ISP1 时, x.x.x. x NATed 到 ISP1 地址, 因为它是不信任的通信不信任。防火墙看到的交通从 ISP1, 并注定到 ISP1, 因此下降的交通作为土地攻击。

当流量从 ISP1 到 x.x.x. X 时, 通信量是源 NATed 作为 ISP1 地址, 并作为 ISP1 到达 internet。因此, 同样的行为是没有被观察到的。

解决办法

删除 NAT 规则, 它将不信任区域中的任何公共 IP 的通信量转换为不信任区域, 作为帕洛阿尔托网络防火墙上的 ISP 地址 (在本例中为 ISP1)。

所有者: achalla