内部アドレスから外部インターフェイスに Ping を行うことができません

問題

ソース NAT が構成されており、内部ホストから外部インターフェイスに対して ping を行うことはできません。

原因

ソース NAT を使用する場合、内部ホストから外部インターフェイスへの ping は不適切なテストメソッドです。  送信元アドレスがファイアウォールの外部アドレスであり、宛先アドレスが同じであるため、パケットは削除されます。  パケットは、土地攻撃と呼ばれるセキュリティ対策によって破棄されます。

CLI では、グローバルカウンタは、NAT 規則の構成が誤っている場合に発生するすべての土地攻撃を明らかにします。

> 表示カウンタグローバルフィルタパケット-フィルタはい |マッチ nat_land

flow_policy_nat_land ドロップセッションのセットアップ: ソース nat IP 割り当ての結果の土地攻撃

解決方法

1. 外部 IP のアドレスオブジェクトを作成します。

2。その IP アドレス宛てのトラフィックを変換しないルールを作成します。

所有者: nayubi