Unfähig, die öffentliche IP-Adresse des Servers zu erreichen
Unfähig, die öffentliche IP-Adresse des Servers zu erreichen
13428
Created On 09/26/18 13:55 PM - Last Modified 06/02/23 03:34 AM
Resolution
Problem
Nicht in der Lage, die öffentliche IP-Adresse des Servers zu erreichen.
Details
ein zweiter öffentlicher Bereich ist auf der Schnittstelle E1/2 konfiguriert, während sich der physische Host auf E1/3 befindet.
Die NAT-Regeln sind von unvertrauen zu Untrust konfiguriert.
Ursache
Die öffentliche IP-Adresse des Servers befindet sich im gleichen Adressraum wie die IP-Adresse einer anderen Schnittstelle auf der Palo Alto Networks Firewall. Beispiel: E1/1, Zone Untrust, Public IP 1.1.1.1/24 E1/2, Zone DMZ-Public, IP 2.2.2.2/24 E1/3, Zone DMZ-privat, IP 192.168.1.1/24 (Server ist mit E1/3, Public IP 2.2.2.66/24, private IP 192.168.1.2/24 verbunden) NAT Policy Set für " unvertrauens Zone zur unvertrauens Zone ".
Die Firewall sieht die Ziel-IP-Adresse des Eindringen Traffic (2.2.2.66) als für die "DMZ-Public"-Zone bestimmt an.
Das liegt daran, dass ein Routen Lookup DMZ-Public als Zielzone für 2.2.2.0/24 zurückgibt.
Die Politik legt aber fest, dass der Verkehr von "unvertrauen zu unvertrauen" erlaubt ist. Daher entfällt der Verkehr.
Lösung
Bearbeiten Sie die NAT-Richtlinien.
Ändern Sie die Zielzone auf "DMZ-Public". Die Änderung der Zielzone von "Untrust" auf "DMZ-Public" führt dazu, dass der Eindringen-Traffic die Quell-und Zielzone auf der Grundlage von Routen Abfragen richtig anstimmt