Palo Alto 防火牆 NAT(Network Address Translation) 設定

內容目錄

前言

NAT對於全部網路設備都是非常重要的功能之一

對於Firewall這樣的設備來說更是如此

除了過濾連進來的流量

從內部連出去的流量也都要管控

NAT 架構

NAT Zone 設定

到Network->Zones

先把整個NAT所需要的zones新增

下方有Add

我架構非常簡單

只需要內腳trust以及外腳untrust兩個zone即可

NAT 內外腳網路介面

到Network->Interfaces設定NAT的內腳與外腳

虛擬路由表設定

到Nerwork->Virtual Routers新增一條Virtual Router

新增內外腳進來

到Static Routes新增下一跳

我default用0.0.0.0/0代表any轉出去

下一跳選擇我自己網段的default-gateway

NAT Policy

到Policy->NAT

新增一條NAT Policy

NAT是從trust到untrust的設定

Original Packet選擇內對外的腳位

Translated Packet選擇轉出去的格式

Logs

直接嘗試用PC接上NAT的內腳去上網

從Log來看會看到NAT的資訊

2 thoughts on “Palo Alto 防火牆 NAT(Network Address Translation) 設定

  1. 請問你有在二台 Firewall 之間建立 VPN ,然後二邊使用的是相同 subnet 的經驗嗎?
    另外就是 VPN 建立後,對於 A firewall 後遠端的網段,如何可以達到 routing ,讓 B firewall 後的主機可以存取?
    例如 10.10.10.0/24 , 192.168.1.0/24 —vpn—- 192.168.2.0/24 這樣。

    1. 第一個問題使用Site To Site VPN即可
      第二個問題是Firewall要設定Virtual Router讓他走到Default Gateway去找到對方,但中間的routing設備不是我自己的,所以我目前無法詳細講解

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。