Nicht in der Lage, externe Schnittstelle von einer internen Adresse zu Ping

Nicht in der Lage, externe Schnittstelle von einer internen Adresse zu Ping

34430
Created On 09/26/18 13:54 PM - Last Modified 06/13/23 16:35 PM


Resolution


Problem

Source NAT ist konfiguriert und es ist nicht möglich, eine externe Schnittstelle von einem internen Host zu Ping.

 

Ursache

Bei der Verwendung von Source NAT ist es eine falsche Testmethode, von einem internen Host zu einer externen Schnittstelle zu pingieren.  Pakete werden fallen gelassen, da die Quelladresse die externe Adresse der Firewall ist und die Zieladresse die gleiche ist.  Pakete werden durch eine Sicherheitsmaßnahme, die als Land Angriff bezeichnet wird, fallen gelassen.

 

Im CLI können globale Zähler alle Land Angriffe aufdecken, die durch falsch konfigurierte NAT-Regeln verursacht werden:

> Counter Global Filter Packet anzeigen-Filter Ja | Match nat_land

flow_policy_nat_land Drop Session Setup: Quelle NAT IP-Zuweisung Ergebnis im Land Angriff

 

Lösung

  1. Erstellen Sie Adress Objekt für externe IP.

Step. 1. jpg

2. Erstellen Sie eine Regel ohne Übersetzung für den Verkehr, der für diese IP-Adresse bestimmt ist.

Step. 2. jpg

 

Besitzer: nayubi
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm0ICAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language