No se puede hacer ping a la interfaz externa desde una dirección interna

No se puede hacer ping a la interfaz externa desde una dirección interna

34424
Created On 09/26/18 13:54 PM - Last Modified 06/13/23 16:35 PM


Resolution


Incidencia

La fuente NAT está configurada y no es posible hacer ping a una interfaz externa desde un host interno.

 

Causa

El ping desde un host interno a una interfaz externa cuando se usa NAT de origen es un método de prueba incorrecto.  Los paquetes se eliminan ya que la dirección de origen es la dirección externa del cortafuegos y la dirección de destino es la misma.  Los paquetes son eliminados por una medida de seguridad llamada ataque terrestre.

 

En la CLI, los contadores globales pueden revelar cualquier ataque de tierra causado por reglas NAT mal configuradas:

> Mostrar contador global filtro paquete filtro sí | Match nat_land

configuración de sesión de flow_policy_nat_land Drop: origen NAT asignación de IP resultado en ataque terrestre

 

Resolución

  1. Crear objeto address para IP externa.

Step. 1. jpg

2. Crear una regla sin traducción para el tráfico destinado a esa dirección IP.

Step. 2. jpg

 

Propietario: nayubi
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm0ICAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language