Сети PaloAlto для самых маленьких (Базовая настройка и Syslog) / forpes.ru

Главная
Сети PaloAlto для самых маленьких (Базовая настройка и Syslog)

Сети PaloAlto для самых маленьких (Базовая настройка и Syslog) +2

05.11.2025 15:49

AnonimUwU1337 0 1400 Источник

Здраствуйте, коллеги. Сегодня делаем базовые конфиги на Palo Alto: NAT для выхода в интернет, лог-форвардинг, security-профили, интерфейсы, роутинг и сервисные роуты. Всё коротко, понятно, с примерами.

У нас схема простая. PaloAlto соединен с интернетом через eth1/1 с IP 10.10.15.54/24, NAT работает для выхода в интернет и для управления. Внутренняя сеть 192.168.1.0/24 подключена к eth1/2 через свитч DSW34. На свитче висят три узла — SyslogSrv 192.168.1.224, SyslogLinux и User2 192.168.1.3. Через них будем проверять NAT и логирование.

На PaloAlto создаем две зоны: Inside и External. Интерфейс eth1/1 в зоне External, IP 10.10.15.54/24. Интерфейс eth1/2 в зоне Inside, IP 192.168.1.1/24. В Virtual Router добавляем дефолтный маршрут 0.0.0.0/0 через 10.10.15.1.

Дальше NAT. Source NAT с Inside на External, тип dynamic IP, используем интерфейсный адрес eth1/1. После этого трафик от 192.168.1.0/24 будет уходить в интернет через внешний IP. Проверка пинг 8.8.8.8 с User2.

Security Policy — Inside на External разрешаем, прикрепляем базовые профили антивирус, URL, threat. Обратный трафик не трогаем, работает implicit deny.

Логи на SyslogSrv. В Log Forwarding добавляем syslog сервер 192.168.1.224 порт 514. Привязываем профиль к политике. Проверяем — на SyslogSrv логи должны идти при любом трафике.

Тут добавляем и назначаем айпи адреса на интерфейсы, и также не забываем коммитить в конце))

Статический роутинг на 0.0.0.0 можно было и BGP, чтобы эмулировать что это мы подключились к провайдеру через BGP.

Определяем зоны

Ну и также настройка NAT

Проверяем интернет, и как видем базовая настройка и вход в интернет обеспечен.

Syslog

Про него долго говорить не буду перейду сразу к настройке, т.к в пред статьях он был разобран до мельчайших атомов)

Дальше настраиваем лог форвардинг. Нам нужно, чтобы все логи с PaloAlto уходили на два сервера — Linux и Windows. Это наши SyslogLinux и SyslogSrv. На фаерволе заходим в Device → Server Profiles → Syslog и добавляем оба сервера. Потом создаём Log Forwarding Profile. В Traffic, Threat, System включаем отправку на эти два сервера. После этого этот профиль добавляем к нашим security-политикам.

По умолчанию весь траффик идет через служебный порт, мы его должны изменить (п.с Я 30 минут пытался найти почему у меня не работает, но потом вспомнил сервисные маршруты)