Firewall está dejando caer paquetes de LAN para no ARP
36570
Created On 02/08/19 00:36 AM - Last Modified 03/26/21 17:31 PM
Symptom
- Firewall está dejando caer paquetes de LAN /Trust saliendo a Internet.
- Paquetes que se caen por No ARP .
flow_fwd_l3_noarp 7 0 drop flow forward Packets dropped: no ARP
- ARP tabla muestra entradas incompletas. Ex
> show arp all maximum of entries supported : 2500 default timeout: 1800 seconds total ARP entries in table : 1 total ARP entries shown : 1 status: s - static, c - complete, e - expiring, i - incomplete interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/4 10.108.121.1 (incomplete) ethernet1/4 i 1
Environment
- PA-820
- Cualquier OS versión
- NAT configurado (origen y destino) correctamente
Cause
- El cliente tiene su puerta de enlace configurada/señalada a un Switch (u otro dispositivo) en lugar de la interfaz de LAN firewalls.
- Esto hace que el Switch reenvíe los paquetes al firewall pero no a los paquetes que el cliente ARP envía.
- Por lo tanto, el firewall no puede conseguir para los clientes y obtiene entradas ARP IP incompletas en la ARP tabla.
Resolution
Aseegurese que la configuración de la puerta de enlace de los clientes se señala a la interfaz de LAN firewalls.
- Terminal de cliente abierto CMD
- Utilice ipconfig o ifconfig ( MAC )
- Comprobar puerta de enlace IP
- Si el IP enumerado es un Switch o un dispositivo que no sea la Firewall LAN interfaz, entonces necesita ser cambiado a la interfaz firewalls LAN IP
Additional Information
Configurada incorrectamente NAT policy es generalmente la causa de problemas como este Por favor haga referencia a este documento para ese
caso:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cla2CAC