无法到达服务器的公共 IP 地址

无法到达服务器的公共 IP 地址

13416
Created On 09/26/18 13:55 PM - Last Modified 06/02/23 03:34 AM


Resolution


问题

  • 无法到达服务器的公共 IP 地址。

详细

  • 第二个公共范围配置在接口 e1/2 上, 而物理主机位于 e1/3
  • NAT 规则从不信任配置为不信任。

原因

  • 服务器的公共 IP 地址与帕洛阿尔托网络防火墙上另一个接口的 ip 地址位于同一地址空间中。
    示例:
    e1/1, 不信任区, 公共 ip 1.1. 1.1/24
    e1/2, 区 dmz-公共, ip 2.2. 2.2/24
    e1/3, 区域 DMZ-私有, ip 192.168.1. 1/24 (服务器连接到 e1/3, 公共 ip 2.2. 2.66/24, 专用 ip 192.168.1. 2/24)
    NAT 策略设置为 "不信任区到不信任区 ".
  • 防火墙将入口通信的目标 IP 地址 (2.2.2.66) 视为 "DMZ-公共" 区域的目的地。
  • 这是因为路由查找返回 DMZ-公共作为目标区域 2.2. 2.0/24。

 

但是, 该策略指定允许从 "不信任到不信任" 的通信。  因此, 通信量被丢弃。

解决办法

  • 编辑 NAT 策略。
  • 将目标区域更改为 "DMZ-公共"。将
    目标区域从 "不信任" 更改为 "DMZ-公共" 将导致入口通信量根据路由查找正确匹配源和目标区域

 

所有者: jdavis
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm1YCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language