Palo Alto: ‘Shadow’ bei NAT Policies, wie geht das?

Plötzlich taucht beim Commit ein Shadow-Problem auf…

Eine NAT Policy soll eine andere “shadowen”.

Beide Policies basieren auf einem FQDN und stellen eine statische NAT dar.

Lösung:

Wenn man sich die Auflösung der Namen auf der Palo Alto mit

request system fqdn show

(mehr dazu hier http://www.krakovic.de/palo-alto-firewall-fqdns-refreshen/)

anschaut, stellt man fest, dass die FQDN nicht übersetzt sind (Hintergrund: sie haben sich lange nicht dynamisch per DHCP registriert).

Sie sind also „gleich / leer / nicht übersetzt“ und das ist der Grund für das shadowing.