Impossible de Pinger l'interface externe à partir d'une adresse interne

Impossible de Pinger l'interface externe à partir d'une adresse interne

34426
Created On 09/26/18 13:54 PM - Last Modified 06/13/23 16:35 PM


Resolution


Demande client

La source NAT est configurée et il n'est pas possible de Pinger une interface externe à partir d'un hôte interne.

 

Cause

Le ping d'un hôte interne vers une interface externe lors de l'utilisation du NAT source est une méthode de test incorrecte.  Les paquets sont supprimés car l'adresse source est l'adresse externe du pare-feu et l'adresse de destination est la même.  Les paquets sont abandonnés par une mesure de sécurité appelée attaque terrestre.

 

Dans le CLI, les compteurs globaux peuvent révéler toutes les attaques terrestres provoquées par des règles NAT mal configurées:

> Show Counter global filtre paquet-filtre Oui | allumette nat_land

flow_policy_nat_land Drop session Setup: source NAT IP allocation résultat en attaque terrestre

 

Résolution

  1. Créer l'objet d'adresse pour l'IP externe.

Step. 1. jpg

2. Créer une règle sans traduction pour le trafic destiné à cette adresse IP.

Step. 2. jpg

 

propriétaire: nayubi
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm0ICAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language