PanOS 10.2.8 へのアップグレード後に NAT ポリシーが機能しない
19973
Created On 03/26/24 22:21 PM - Last Modified 02/20/25 21:29 PM
Symptom
- 設定された NAT アドレス プールは、ファイアウォール上のどのインターフェイスにもバインドされません。
- アップストリーム ルータに、ファイアウォール IP アドレスの正しい ARP エントリが表示されます。
- アップストリーム ルータは、NAT プールの一部であるファイアウォール IP アドレス(どのファイアウォール インターフェイスにもバインドされていないアドレス)の ARP エントリを表示しません。
- ARP パケット キャプチャは、アップストリームからの ARP 要求がドロップされていることを示します。 「ARP パケットのキャプチャ方法」を参照してください。
Environment
- パロアルトのファイアウォール
- PAN-OS 10.2.8 以降
- ネットワーク アドレス変換 (NAT)
Cause
- PAN-OS 10.2.8 では、NAT 変換された IP の proxy-arp の厳密なチェックが適用されます。
- ファイアウォールは、ARP 要求のターゲット IP とイングレス インターフェイス IP が同じサブネット内にある場合にのみ、NAT プール IP の ARP 応答を送信します。
予想される行動:
- NAT アドレス プールは、どのインターフェイスにもバインドされません。 次の図は、NAT アドレス プール内のアドレスに対してプロキシ ARP を実行しているときのファイアウォールの動作を示しています
- ファイアウォールは、クライアントに対して送信元 NAT を実行し、送信元アドレス 10.1.1.1 を NAT プール内のアドレス 192.168.2.2 に変換します。 変換されたパケットはルータに送信されます。
- リターン トラフィックの場合、ルータは 192.168.2.2 に到達する方法を認識していないため(この IP は NAT アドレス プール内のアドレスにすぎないため)、ファイアウォールに ARP 要求を送信します。
- アドレス プール アドレス 192.168.2.2 が出力/入力インターフェイス IP 192.168.2.3/24 と同じサブネット内にある場合、ファイアウォールは、その IP のレイヤ 2 MAC アドレスを示すプロキシ ARP 応答をルータに送信します。
- アドレス プールの IP が FW のインターフェイス上のサブネットの一部でない場合、ファイアウォールはプロキシ ARP 応答をルータに送信しません。
Resolution
- NAT アドレス プール アドレスがインターフェイスにバインドされていること、つまり、インターフェイスの IP アドレスと同じサブネットにあることを確認します。
- NAT プール アドレスをインターフェイス アドレスと同じサブネットの一部にできない場合は、そのアドレスのルートをアップストリーム ルータに作成します。