Land greift an, wenn die Quelle und das Ziel NAT für die gleiche öffentliche IP-Adresse konfiguriert

Land greift an, wenn die Quelle und das Ziel NAT für die gleiche öffentliche IP-Adresse konfiguriert

53399
Created On 09/26/18 13:50 PM - Last Modified 06/15/23 22:21 PM


Resolution


Übersicht

Land Angriffe können auftreten, wenn ein Administrator die Ziel Übersetzung für einen DMZ-Zonen Server konfiguriert und die Übersetzung für Treuhand Zonen-Nutzer mit der gleichen öffentlichen IP-Adresse. Wenn der Verkehr von internen LAN zu der Firewall Public IP-Adresse Quelle Übersetzung wird angewendet werden und fallen von der Palo Alto Networks Firewall, die als ein Land-Angriff gilt.

Details

Im folgenden ist das Szenario abgebildet, in dem der Verkehr aufgrund eines Land Angriffs abgebrochen werden kann.

Dai. JPG

Der von der Zone "Trust_L3" ins Internet initiierte Verkehr wird die Quellen Übersetzung nutzen. Der vom öffentlichen Netzwerk (Untrust_L3) initiierte Verkehr zum Webserver (200.1.1.1) wird die Ziel Übersetzung nutzen.

Hier ist die NAT-Konfiguration für das obige Szenario.

NAT2. Jpg

Der Verkehr von einer internen Zone (Trust_L3) zur Firewall-öffentlichen IP-Adresse (200.1.1.1) wird die Quelle-NAT-Regel treffen, die dazu führt, dass eine Quell Übersetzung auf den Verkehr angewendet wird. Die Quelle wird in die öffentliche IP der Firewall übersetzt und die Firewall wird diesen Verkehr sofort fallen lassen, weil Sie als Land Angriff angesehen wird. Die Firewall würde diesen Traffic als die gleiche Quell-und Ziel-IP-Adresse sehen.

Lösung

Um zu bestätigen, dass der Verkehr wegen eines Land Angriffs fallen gelassen wird, führen Sie den folgenden Befehl aus. Dieser Befehl prüft Zähler, insbesondere die Drop-Zähler.

Ein Filter kann mit einer bestimmten Quell-und Ziel-IP-Adresse konfiguriert und auf globale Zähler angewendet werden, um die spezifischen Ausgänge zu erhalten, wie unten gezeigt.

Pc. Jpg

Nach dem Setzen der Filter und der Initiierung des "Ping"-Verkehrs auf die Firewall Public IP von Internal LAN, folgen Sie dem unten stehenden Befehl, um auf die Tropfen wegen Land Angriffs zu überprüfen.

> Counter Global Filter Packet anzeigen-Filter ja Delta Ja schwere Tropfen

Globale Zähler:

Verstrichene Zeit seit der letzten Probenahme: 17,60 Sekunden

Name Value Rate schwere Kategorie Aspekt Beschreibung

---------------------------------------------------------------------------------

flow_policy_nat_land 3 0 Drop Flow Session-Session-Setup: Quelle NAT IP-Zuweisung Ergebnis im Land Angriff

---------------------------------------------------------------------------------

Gesamt Zähler: 1

---------------------------------------------------------------------------------

Lösung

Erstellen Sie eine "No NAT"-Regel für den Datenverkehr von Internal LAN (Trust_L3) bis zur Firewall-IP-Adresse (200.1.1.1), wie unten gezeigt.

No NAt. jpg

Der Verkehr von der internen LAN-Trust_L3 zur Firewall-IP-Adresse (200.1.1.1) trifft die "No NAT"-Regel und wird nicht der NAT-Übersetzung unterzogen.

Besitzer: Sbabu
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clt0CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language