No se puede llegar a la dirección IP pública del servidor
No se puede llegar a la dirección IP pública del servidor
13414
Created On 09/26/18 13:55 PM - Last Modified 06/02/23 03:34 AM
Resolution
Incidencia
No se puede llegar a la dirección IP pública del servidor.
Detalles
una segunda gama pública se configura en el interfaz E1/2 mientras que el anfitrión físico está situado en E1/3
Las reglas NAT se configuran desde la desconfianza a la no confianza.
Causa
La dirección IP pública del servidor se encuentra en el mismo espacio de direcciones que la dirección IP de otra interfaz del cortafuegos de Palo Alto Networks. Ejemplo: E1/1, desconfianza de la zona, IP pública 1.1.1.1/24 E1/2, zona DMZ-Public, IP 2.2.2.2/24 E1/3, Zone DMZ-Private, IP 192.168.1.1/24 (el servidor está conectado a E1/3, IP público 2.2.2.66/24, IP privado 192.168.1.2/24) política NAT fijada para " zona de desconfianza a la zona de desconfianza ".
El cortafuegos ve la dirección IP de destino del tráfico de entrada (2.2.2.66) como destinada a la zona "DMZ-Public".
Esto se debe a que una búsqueda de ruta devuelve DMZ-Public como la zona de destino para 2.2.2.0/24.
Sin embargo, la Directiva especifica que se permite el tráfico de "Untrust a Untrust". Por lo tanto, el tráfico se cae.
Resolución
Edite la Directiva NAT.
Cambie la zona de destino a "DMZ-Public". el cambio de la zona de destino de "Untrust" a "DMZ-Public" hace que el tráfico de entrada coincida correctamente con la zona de origen y de destino, basándose en las búsquedas de rutas