Paquetes caídos: Opción de protección de zona 'strict-ip-check'
38464
Created On 05/14/20 00:23 AM - Last Modified 01/10/24 18:47 PM
Symptom
- El ping y la ruta de seguimiento al destino no son acertados.
- El troubleshooting usando los contadores globales visualiza el estricto-ip-check como la causa de las caídas de paquetes.
> show counter global filter delta yes packet-filter yes
...
Packets dropped: Zone protection option 'strict-ip-checkEnvironment
- PANOS-9.0.6
- Palo Alto Firewall .
- El paquete cae a algunos destinos a través del firewall archivo .
- Protección de zona con comprobación estricta IP configurada.
Cause
Los paquetes se descartan debido a direcciones de origen o destino IP malformadas.
Ejemplo: Deseche los paquetes donde la dirección de origen o de destino IP sea la misma que la dirección de la interfaz de red, sea una dirección de broadcast, una dirección de loopback, una dirección local del link, una dirección no especificada o esté reservada para su uso futuro
Resolution
- En primer lugar, compruebe qué perfil de protección de zona está implicado
- Desmarcado la opción"Comprobación estricta IP de direcciones"en GUI : perfiles de red > red >protección de zona > protección contra ataques de base de paquetes > comprobación estricta IP de direcciones.