内部アドレスから外部インターフェイスに Ping を行うことができません
34422
Created On 09/26/18 13:54 PM - Last Modified 06/13/23 16:35 PM
Resolution
問題
ソース NAT が構成されており、内部ホストから外部インターフェイスに対して ping を行うことはできません。
原因
ソース NAT を使用する場合、内部ホストから外部インターフェイスへの ping は不適切なテストメソッドです。 送信元アドレスがファイアウォールの外部アドレスであり、宛先アドレスが同じであるため、パケットは削除されます。 パケットは、土地攻撃と呼ばれるセキュリティ対策によって破棄されます。
CLI では、グローバルカウンタは、NAT 規則の構成が誤っている場合に発生するすべての土地攻撃を明らかにします。
> 表示カウンタグローバルフィルタパケット-フィルタはい |マッチ nat_land
flow_policy_nat_land ドロップセッションのセットアップ: ソース nat IP 割り当ての結果の土地攻撃
解決方法
- 外部 IP のアドレスオブジェクトを作成します。
2。その IP アドレス宛てのトラフィックを変換しないルールを作成します。
所有者: nayubi