No se puede hacer ping a la interfaz externa desde una dirección interna
No se puede hacer ping a la interfaz externa desde una dirección interna
34424
Created On 09/26/18 13:54 PM - Last Modified 06/13/23 16:35 PM
Resolution
Incidencia
La fuente NAT está configurada y no es posible hacer ping a una interfaz externa desde un host interno.
Causa
El ping desde un host interno a una interfaz externa cuando se usa NAT de origen es un método de prueba incorrecto. Los paquetes se eliminan ya que la dirección de origen es la dirección externa del cortafuegos y la dirección de destino es la misma. Los paquetes son eliminados por una medida de seguridad llamada ataque terrestre.
En la CLI, los contadores globales pueden revelar cualquier ataque de tierra causado por reglas NAT mal configuradas:
> Mostrar contador global filtro paquete filtro sí | Match nat_land
configuración de sesión de flow_policy_nat_land Drop: origen NAT asignación de IP resultado en ataque terrestre
Resolución
Crear objeto address para IP externa.
2. Crear una regla sin traducción para el tráfico destinado a esa dirección IP.