Firewall ist Dropping Packets from LAN for No ARP
36572
Created On 02/08/19 00:36 AM - Last Modified 03/26/21 17:31 PM
Symptom
- Firewall pakete von LAN /Trust ins Internet zu löschen.
- Pakete, die für Nr. verworfen ARP werden.
flow_fwd_l3_noarp 7 0 drop flow forward Packets dropped: no ARP
- ARP Tabelle zeigt unvollständige Einträge. Ex:
> show arp all maximum of entries supported : 2500 default timeout: 1800 seconds total ARP entries in table : 1 total ARP entries shown : 1 status: s - static, c - complete, e - expiring, i - incomplete interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/4 10.108.121.1 (incomplete) ethernet1/4 i 1
Environment
- PA-820
- Jede OS Version
- NAT konfiguriert (Quelle und Ziel) korrekt konfiguriert
Cause
- Der Client hat sein Gateway anstelle der Firewall-Schnittstelle konfiguriert/auf einen Switch (oder ein anderes Gerät) LAN verwiesen.
- Dies bewirkt, dass Switch die Pakete an firewall die, aber nicht an die Pakete weiterleitet, ARP die der Client sendet.
- Somit ist der firewall für die Clients nicht zu erreichen und erhält ARP IP unvollständige Einträge in der ARP Tabelle.
Resolution
Stellen Sie sicher, dass die Clientgatewaykonfiguration auf die LAN Firewalls-Schnittstelle verweist.
- Offenes CMD Client-Terminal
- Verwenden von ipconfig oder ifconfig ( MAC )
- Check Gateway IP
- Wenn es sich bei dem aufgeführten Switch um einen Switch oder ein anderes Gerät als die Schnittstelle handelt, muss er in IP Firewall LAN die Firewalls-Schnittstelle geändert werden. LAN IP
Additional Information
Unsachgemäß konfiguriert NAT policy ist in der Regel die Ursache von Problemen wie diesem
Bitte verweisen Sie auf dieses Dokument für diesen Fall:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cla2CAC