无法到达服务器的公共 IP 地址
13416
Created On 09/26/18 13:55 PM - Last Modified 06/02/23 03:34 AM
Resolution
问题
详细
- 第二个公共范围配置在接口 e1/2 上, 而物理主机位于 e1/3
- NAT 规则从不信任配置为不信任。
原因
- 服务器的公共 IP 地址与帕洛阿尔托网络防火墙上另一个接口的 ip 地址位于同一地址空间中。
示例:
e1/1, 不信任区, 公共 ip 1.1. 1.1/24
e1/2, 区 dmz-公共, ip 2.2. 2.2/24
e1/3, 区域 DMZ-私有, ip 192.168.1. 1/24 (服务器连接到 e1/3, 公共 ip 2.2. 2.66/24, 专用 ip 192.168.1. 2/24)
NAT 策略设置为 "不信任区到不信任区 ". - 防火墙将入口通信的目标 IP 地址 (2.2.2.66) 视为 "DMZ-公共" 区域的目的地。
- 这是因为路由查找返回 DMZ-公共作为目标区域 2.2. 2.0/24。
但是, 该策略指定允许从 "不信任到不信任" 的通信。 因此, 通信量被丢弃。
解决办法
- 编辑 NAT 策略。
- 将目标区域更改为 "DMZ-公共"。将
目标区域从 "不信任" 更改为 "DMZ-公共" 将导致入口通信量根据路由查找正确匹配源和目标区域
所有者: jdavis