No se puede llegar a la dirección IP pública del servidor

No se puede llegar a la dirección IP pública del servidor

13414
Created On 09/26/18 13:55 PM - Last Modified 06/02/23 03:34 AM


Resolution


Incidencia

  • No se puede llegar a la dirección IP pública del servidor.

Detalles

  • una segunda gama pública se configura en el interfaz E1/2 mientras que el anfitrión físico está situado en E1/3
  • Las reglas NAT se configuran desde la desconfianza a la no confianza.

Causa

  • La dirección IP pública del servidor se encuentra en el mismo espacio de direcciones que la dirección IP de otra interfaz del cortafuegos de Palo Alto Networks.
    Ejemplo:
    E1/1, desconfianza de la zona, IP pública 1.1.1.1/24
    E1/2, zona DMZ-Public, IP 2.2.2.2/24
    E1/3, Zone DMZ-Private, IP 192.168.1.1/24 (el servidor está conectado a E1/3, IP público 2.2.2.66/24, IP privado 192.168.1.2/24)
    política NAT fijada para " zona de desconfianza a la zona de desconfianza ".
  • El cortafuegos ve la dirección IP de destino del tráfico de entrada (2.2.2.66) como destinada a la zona "DMZ-Public".
  • Esto se debe a que una búsqueda de ruta devuelve DMZ-Public como la zona de destino para 2.2.2.0/24.

 

Sin embargo, la Directiva especifica que se permite el tráfico de "Untrust a Untrust".  Por lo tanto, el tráfico se cae.

Resolución

  • Edite la Directiva NAT.
  • Cambie la zona de destino a "DMZ-Public". el
    cambio de la zona de destino de "Untrust" a "DMZ-Public" hace que el tráfico de entrada coincida correctamente con la zona de origen y de destino, basándose en las búsquedas de rutas

 

Propietario: jdavis
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1YCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language