Firewall は No LAN のパケットをドロップしています ARP
36576
Created On 02/08/19 00:36 AM - Last Modified 03/26/21 17:32 PM
Symptom
- Firewall は LAN 、インターネットに出て/Trust からパケットをドロップしています。
- No の場合にドロップされるパケット ARP 。
flow_fwd_l3_noarp 7 0 drop flow forward Packets dropped: no ARP
- ARP 表に不完全なエントリを示します。 元:
> show arp all maximum of entries supported : 2500 default timeout: 1800 seconds total ARP entries in table : 1 total ARP entries shown : 1 status: s - static, c - complete, e - expiring, i - incomplete interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/4 10.108.121.1 (incomplete) ethernet1/4 i 1
Environment
- PA-820
- 任意 OS のバージョン
- NAT (送信元と宛先) が正しく構成されている
Cause
- クライアントは、ファイアウォール インターフェイスではなく、スイッチ (または別のデバイス) にゲートウェイを設定またはポイント LAN しています。
- これにより、スイッチはクライアントから送信されるパケットではなく、 firewall ARP パケットに転送されます。
- したがって firewall 、クライアントでは取得できず ARP IP 、テーブル内の不完全なエントリを取得 ARP します。
Resolution
クライアント ゲートウェイの構成がファイアウォール インターフェイスを指していることを確認 LAN します。
- オープンクライアント CMD 端末
- ipconfig または ifconfig を使用する ( MAC )
- ゲートウェイの確認 IP
- IP一覧にスイッチまたはインターフェイス以外のデバイスがある場合 Firewall LAN は、ファイアウォール インターフェイスに変更する必要があります。 LAN IP
Additional Information
不適切に構成 NAT policy されているのは、通常、このような問題の原因です
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cla2CAC。