ポリシー ベース フォワーディングがPalo Alto Networksファイアウォールを送信元とするトラフィックに対して動作しない

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

Policy-based forwarding doesn't work for traffic sourced from the Palo Alto Networks firewall

https://live.paloaltonetworks.com/t5/Management-Articles/Policy-based-forwarding-doesn-t-work-for-tr...

 

 

問題

あるゾーンからISP経由でインターネットへ向かうすべてのトラフィックを転送するためにポリシー ベース フォワーディング (PBF) ルールを設定している場合、そのルールは、Palo Alto Networksファイアウォールの背後にある端末にだけ適用されるが、ファイアウォール自身を送信元とするトラフィックには適用されない。

 

原因

PBFルールに加えてルートがルーティング テーブルにある場合、最初にPBFルールだけが上から順番に評価されます。しかし、これはファイアウォールの背後にある端末にだけ適用されます。PBFがTrustゾーンからUntrustゾーンへ向かうすべてのトラフィックを転送するよう設定されていると、Palo Alto Networksファイアウォールの背後にある端末を送信元とするトラフィックにのみ、ルールが適用されます。しかしファイアウォールを送信元とするトラフィックは、PBFテーブルの評価をバイパスし、代わりに出力インターフェイスからトラフィックを転送するルートに合致するかのルーティング テーブルの評価が開始されます。

 

WebGUIから、[ Network ] > [ インターフェイス ] > [ Ethernet ] を開きます。続くシナリオでは、インターフェイスは以下の通り設定されています:

4.JPG

 

[ Network ] > [ 仮想ルーター ] > [ スタティック ルート ] 内に、デフォルト ルートが以下の通り設定されています:

1.JPG

 

端末から来ているトラフィックである場合、セッション情報は以下の通り表示されます:

Session through route.JPG

 

WebGUIから、[ Policies ] > [ ポリシー ベース フォワーディング ] を開き、以下のデフォルト ルートと同じPBFルールを作成します:

pbf rule.JPG

 

端末から来ているトラフィックの場合、セッション情報は以下の通り表示されます(デフォルト ルートがあるにもかかわらず、PBFルールだけがまず評価されています):

Session through PBF.JPG

 

ファイアウォールの背後にある端末からや、ファイアウォールの信頼済みインターフェイスから、パブリックなIPアドレス 4.2.2.2 へ継続的なPingをすると、どちらもPingは成功しました。これはPBFルールを使用する端末からのトラフィックであるため、そしてルーティング テーブルを使用しているファイアウォールからのトラフィックであるためです:

Working.JPG

 

デフォルト ルートだけが削除し、端末からのトラフィックはPBFルールを使用して通過することに成功していますが、デフォルト ルートが削除されたため以下の通りファイアウォールからのトラフィックは失敗しました:

Not Working.JPG

 

PBFは、ファイアウォールの背後にいる端末からのトラフィックに対してのみ動作し、ファイアウォールからのトラフィックに対しては動作しません。

 

以下が既知の制限事項となります:

  1. PBFは、Palo Alto NetworksファイアウォールへのIPsecトンネルのトラフィックには機能しません。
  2. PBFは、フェーズ1トンネルに対して機能しないので、IKEを開始するためにルーティング テーブルのデフォルト ルートを使用する必要があります。
  3. PBFは、GlobalProtect接続に対して機能しません。
  4. PBFルールのためにアプリケーションを使用している場合、TCPトラフィックに合致するアプリケーションのシグネチャは、3ウェイ ハンドシェイクの後に識別されます。そのため、PBFルールは、最初の3ウェイ ハンドシェイクには合致しないかもしれず、ルート探索にだけ基づいてファイアウォールを通過します。

 

著者:dantony

Ask Questions Get Answers Join the Live Community
記事ダッシュボード
バージョン履歴
改訂番号
9/9
最終更新:
‎03-21-2017 08:41 PM
更新者:
 
寄稿者: