Land greift an, wenn die Quelle und das Ziel NAT für die gleiche öffentliche IP-Adresse konfiguriert
Resolution
Übersicht
Land Angriffe können auftreten, wenn ein Administrator die Ziel Übersetzung für einen DMZ-Zonen Server konfiguriert und die Übersetzung für Treuhand Zonen-Nutzer mit der gleichen öffentlichen IP-Adresse. Wenn der Verkehr von internen LAN zu der Firewall Public IP-Adresse Quelle Übersetzung wird angewendet werden und fallen von der Palo Alto Networks Firewall, die als ein Land-Angriff gilt.
Details
Im folgenden ist das Szenario abgebildet, in dem der Verkehr aufgrund eines Land Angriffs abgebrochen werden kann.
Der von der Zone "Trust_L3" ins Internet initiierte Verkehr wird die Quellen Übersetzung nutzen. Der vom öffentlichen Netzwerk (Untrust_L3) initiierte Verkehr zum Webserver (200.1.1.1) wird die Ziel Übersetzung nutzen.
Hier ist die NAT-Konfiguration für das obige Szenario.
Der Verkehr von einer internen Zone (Trust_L3) zur Firewall-öffentlichen IP-Adresse (200.1.1.1) wird die Quelle-NAT-Regel treffen, die dazu führt, dass eine Quell Übersetzung auf den Verkehr angewendet wird. Die Quelle wird in die öffentliche IP der Firewall übersetzt und die Firewall wird diesen Verkehr sofort fallen lassen, weil Sie als Land Angriff angesehen wird. Die Firewall würde diesen Traffic als die gleiche Quell-und Ziel-IP-Adresse sehen.
Lösung
Um zu bestätigen, dass der Verkehr wegen eines Land Angriffs fallen gelassen wird, führen Sie den folgenden Befehl aus. Dieser Befehl prüft Zähler, insbesondere die Drop-Zähler.
Ein Filter kann mit einer bestimmten Quell-und Ziel-IP-Adresse konfiguriert und auf globale Zähler angewendet werden, um die spezifischen Ausgänge zu erhalten, wie unten gezeigt.
Nach dem Setzen der Filter und der Initiierung des "Ping"-Verkehrs auf die Firewall Public IP von Internal LAN, folgen Sie dem unten stehenden Befehl, um auf die Tropfen wegen Land Angriffs zu überprüfen.
> Counter Global Filter Packet anzeigen-Filter ja Delta Ja schwere Tropfen
Globale Zähler:
Verstrichene Zeit seit der letzten Probenahme: 17,60 Sekunden
Name Value Rate schwere Kategorie Aspekt Beschreibung
---------------------------------------------------------------------------------
flow_policy_nat_land 3 0 Drop Flow Session-Session-Setup: Quelle NAT IP-Zuweisung Ergebnis im Land Angriff
---------------------------------------------------------------------------------
Gesamt Zähler: 1
---------------------------------------------------------------------------------
Lösung
Erstellen Sie eine "No NAT"-Regel für den Datenverkehr von Internal LAN (Trust_L3) bis zur Firewall-IP-Adresse (200.1.1.1), wie unten gezeigt.
Der Verkehr von der internen LAN-Trust_L3 zur Firewall-IP-Adresse (200.1.1.1) trifft die "No NAT"-Regel und wird nicht der NAT-Übersetzung unterzogen.
Besitzer: Sbabu