无法从内部地址 Ping 外部接口
34432
Created On 09/26/18 13:54 PM - Last Modified 06/13/23 16:35 PM
Resolution
问题
源 NAT 已配置, 无法从内部主机 ping 外部接口。
原因
使用源 NAT 时, 从内部主机 ping 到外部接口是不正确的测试方法。 数据包被丢弃, 因为源地址是防火墙的外部地址, 目标地址相同。 数据包被称为土地攻击的安全措施所丢弃。
在 CLI 中, 全局计数器可以显示因配置错误的 NAT 规则而导致的任何土地攻击:
>> 显示计数器全局筛选器包-筛选器是 |匹配 nat_land
flow_policy_nat_land 删除会话设置: 源 nat IP 分配导致的土地攻击
解决办法
- 为外部 IP 创建地址对象。
2。创建一个没有转换的规则, 用于为该 IP 地址指定的通信量。
所有者: nayubi