Impossible de Pinger l'interface externe à partir d'une adresse interne
Impossible de Pinger l'interface externe à partir d'une adresse interne
34426
Created On 09/26/18 13:54 PM - Last Modified 06/13/23 16:35 PM
Resolution
Demande client
La source NAT est configurée et il n'est pas possible de Pinger une interface externe à partir d'un hôte interne.
Cause
Le ping d'un hôte interne vers une interface externe lors de l'utilisation du NAT source est une méthode de test incorrecte. Les paquets sont supprimés car l'adresse source est l'adresse externe du pare-feu et l'adresse de destination est la même. Les paquets sont abandonnés par une mesure de sécurité appelée attaque terrestre.
Dans le CLI, les compteurs globaux peuvent révéler toutes les attaques terrestres provoquées par des règles NAT mal configurées:
> Show Counter global filtre paquet-filtre Oui | allumette nat_land
flow_policy_nat_land Drop session Setup: source NAT IP allocation résultat en attaque terrestre
Résolution
Créer l'objet d'adresse pour l'IP externe.
2. Créer une règle sans traduction pour le trafic destiné à cette adresse IP.