サーバーのパブリック IP アドレスに到達できません

問題

• サーバーのパブリック IP アドレスに到達できません。

詳細

• 2番目のパブリック範囲は、インターフェイス e1/2 で構成され、物理ホストは e1/3 に配置されます。
• NAT 規則は、untrust から untrust に構成されています。

原因

• サーバーのパブリック ip アドレスは、パロアルトネットワークファイアウォールの別のインターフェイスの ip アドレスと同じアドレス空間にあります。
  例:
  e1/1、ゾーン untrust、パブリック ip 1.1.1.1/24
  e1/2、ゾーン dmz-パブリック、ip 2.2.2.2/24
  e1/3、ゾーン dmz-プライベート、ip 192.168.1.1/24 (サーバーは e1/3 に接続されている、パブリック ip 2.2.2.66/24、プライベート ip 192.168.1.2/24)
  NAT ポリシーセット "untrust ゾーンを untrust ゾーン」にします。
• ファイアウォールは、進入トラフィックの宛先 IP アドレス (2.2.2.66) を "DMZ パブリック" ゾーン宛てと見なします。
• これは、ルートルックアップが 2.2.2.0/24 の宛先ゾーンとして DMZ-Public を返すためです。

ただし、このポリシーでは、"untrust から untrust" へのトラフィックを許可することを指定しています。  したがって、トラフィックが削除されます。

解決方法

• NAT ポリシーを編集します。
• 宛先ゾーンを "DMZ-パブリック" に変更します。
  宛先ゾーンを "untrust" から "DMZ-パブリック" に変更すると、ルートルックアップに基づいて、受信トラフィックがソースゾーンと宛先領域に正しく一致するようになります。

所有者: jdavis