无法 ping 不信任地址, 但能够从不信任地址 ping 公共 IPs
29149
Created On 09/26/18 13:50 PM - Last Modified 06/13/23 03:02 AM
Resolution
问题
帕洛阿尔托网络防火墙为不信任区域中的 ISP 地址 (ISP1) 配置了一个接口。此 ISP 地址无法从来自不信任区域的任何公共 IP (x.x.x. X) 中访问。但是, 当 ping 从 ISP1 地址来源到 x.x.x. X 时, 它工作正常。
原因
在帕洛阿尔托网络防火墙上有一个 NAT 规则, 从源区域不信任到目标区域不信任, NATs 所有源通信到 ISP1 地址。当流量从 x.x.x. x 到 ISP1 时, x.x.x. x NATed 到 ISP1 地址, 因为它是不信任的通信不信任。防火墙看到的交通从 ISP1, 并注定到 ISP1, 因此下降的交通作为土地攻击。
当流量从 ISP1 到 x.x.x. X 时, 通信量是源 NATed 作为 ISP1 地址, 并作为 ISP1 到达 internet。因此, 同样的行为是没有被观察到的。
解决办法
删除 NAT 规则, 它将不信任区域中的任何公共 IP 的通信量转换为不信任区域, 作为帕洛阿尔托网络防火墙上的 ISP 地址 (在本例中为 ISP1)。
所有者: achalla