paloaltoでDNATするとき、「元のパケット」の宛先ゾーンをNATで変換した後のアドレスのゾーンにしないように注意。
大体外からやってくる通信をLANのアドレスに変換すると思う。
ゾーンは大体、untrust → trust という通信になる。
しかし、NATポリシーを書くときには「どの通信をNAT対象とするか」という設定が必要であり、それはuntrustゾーンに来るuntrustゾーンのセグメントのIPアドレス宛であるから、送信元も宛先も untrust になるのである。
まあ、考えてみれば当然なのだが昔はまったことがあり久しぶりに設定したら同じようにはまった。