Trabajar con formatos de lista (EBL) bloque externo y limitaciones

Trabajar con formatos de lista (EBL) bloque externo y limitaciones

138920
Created On 09/25/18 19:20 PM - Last Modified 06/12/23 20:52 PM


Resolution


 

Resumen

Listas de bloqueo dinámico (objetos > listas de bloque dinámico), introducido en PAN-OS 5.0, permite externamente creada listas de direcciones IP para ser importados y utilizados como objetos de dirección en las políticas de seguridad. Este documento describe formato reglas a tener en cuenta al crear el archivo de texto para una lista de direcciones IP.

 

Detalles

Cada línea de una leucosis enzoótica bovina (lista de bloqueo externo) puede ser una dirección IP, rango de IP o subred (se admite IPv6):

  • 192.168.20.10/32 indica una dirección IP
  • 192.168.20.0/24 indica la subred
  • 192.168.20.40-192.168.20.50 indica el rango de IP
  • 2001:db8:123:1::1 indica en dirección IP
  • 2001:db8:123:1:: / 64 indica la subred

Notas:

  • Cada línea de un EBL se termina con el carácter de nueva línea (LF). No se admite el formato de Windows (CR-LF).
  • Bloqueo de direcciones URL o FQDN dinámicamente utilizando EBL actualmente no se admite.
  • Para ver el último octeto de la última dirección ip en la lista en el firewall, allí debe ser un "regreso" después de la última dirección ip en el archivo de texto.
  • Para una configuración de ruta de servicio, el EBL cae bajo la selección de 'Actualizaciones de Palo Alto'.

 

Comandos útiles:

  • Mostrar la leucosis enzoótica bovina en el CLI:

    &gt; nombre de Mostrar lista de externa del sistema de solicitud<object name=""></object>

 

  • Solicitar una actualización EBL desde el CLI:

    &gt; Actualizar lista de externa nombre del sistema de solicitud<object name=""></object>

 

  • Mostrar el estado de una actualización de leucosis enzoótica bovina:

    &gt; Mostrar id de puestos de trabajo<job id=""></job>

 

Información adicional:

Los siguientes errores (a partir de sus respectivos comandos) pueden verse en el CLI:

> solicitar sistema externo-lista Mostrar nombre <object name="">
error del servidor: no se encontró el archivo de lista externo.</object>

 

o

> Mostrar trabajo ID <value> (donde <value>es un trabajo de actualización de EBL) puede devolver el error:
advertencias:
EBL (vsys1/test) no se puede obtener la lista externa. </value>   </value> Uso de la copia antigua para refreSH.

 

Los errores anteriores sugieren que puede ser el problema con el servidor web que aloja la lista de direcciones IP. Sin embargo, en muchos casos, la lista fue obtenida con éxito ("URL de origen es accesible" cuando se prueba en el GUI), pero el equipo de Palo Alto Networks no pudo leerlo. Verifique que la dirección de origen está apuntando a un archivo .txt en una url HTTP/HTTPS.

Por ejemplo: https://www.example.com/blocklist.txt

 

Por favor que es un lugar de HTTPS en PAN-OS 5.0.10 o superior. Si ejecuta una versión anterior, la opción de la prueba enlace en la interfaz gráfica puede devolver un error, aunque funciona correctamente.

Nota: para ver la lista en el firewall, el DBL necesita ser usado en una directiva.

 

El error también puede aparecer si la regla de seguridad no está configurada con una lista dinámica o si no se establece el objetivo vsys en vsys multi sistema.

  • Para aplicar una lista de bloques dinámicos a una regla de seguridad, vea el siguiente ejemplo:
    eblcorrect.jpg
    la acción debe establecerse en ' bloquear ' en lugar de ' permitir ' para la regla con el objeto EBL como destino.

  • Para establecer el destino vsys:

    &gt; sistema de ajuste de destino vsys<vsys1></vsys1>

 

Si la leucosis enzoótica bovina (EBL no compartido) se crea en Panorama, luego debe aplicado a una norma previa y empujó al dispositivo administrado con vsys múltiples.

 

Nota 1: la ruta de servicio ' actualizaciones de palo alto ' afectará también a la EBLs.

 

Nota 2: antes de pan-os 6,1, las líneas con comentarios serán omitirse cuando se apliquen a la política de seguridad. 6.1 y sobre se aplicarán correctamente las líneas con comentarios incluidos en ellos.

 

Ejemplo:

#test dbl

1.2.3.4

10.10.10.10

10.11.12.13 testingcommentsread aquí

10.12.12.14 #testingcommentsread aquí

 

> Mostrar ejecutar seguridad-Policy
TestDBL {
de Trust-L3;
fuente cualquiera;
origen-región ninguno;
a Untrust-L3;
destino [1.2.3.4 10.10.10.10];
destino-región ninguno;
usuario cualquiera;
categoría cualquiera;
Application/ servicio cualesquiera/cualesquiera/cualesquiera/cualesquiera; la
acción permite;
terminal sí;
}

 

Nota: si se muestran otros errores al actualizar el EBL, el servidor de administración Debug puede activarse y se puede seguir la sesión de MS. log. Si hay un problema con el formato de la lista de leucosis enzoótica bovina, le cabe señalar claramente en el ms.log. Continuación muestra un ejemplo ms.log entradas del archivo:

 

15 de Feb 12:43:21 EBL entry (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1,0) refrescar trabajo cancelado
Feb 15 12:43:21 EBL entry (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1,0) EBL Refresh exito del trabajo
Feb 15 12:43:21 EBL Alloc Free Timer (0xdbfbecb0, 1356)
Feb 15 12:43:21 EBL entry (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1,0) liberando EBL
Feb 15 12:43:21 tamaño libre EBL ALLOC (0xe0b6ac60 1196)

 

Número máximo de listas de bloqueo externo y las entradas en cada lista de direcciones:

 

  • En PAN-OS 7.0. x y abajo, cada plataforma puede tener un máximo de 10 listas de bloques externos.
  • En PAN-OS 7.1. x y más adelante, cada plataforma puede tener un máximo de 30 listas de bloques externos.
  • Cada lista puede contener el número máximo de direcciones soportadas por el modelo de Firewall menos 300.
  • Cada EBL se cuenta como objeto de una dirección y no contribuir a la plataforma de máxima para la dirección de max, es decir, si la dirección máxima del dispositivo es de 5000, usted puede tener 10 EBLs de tamaño 4700 cada uno y 4990 dirección-objetos.

 

Para ver lo que tiene su sistema, introduzca el siguiente comando mediante la CLI:

 

En un PA-200 la comando y la salida deben ◊Beautiful como este: 

&gt; Mostrar estado del sistema | coincidir con la dirección de cfg.general.max


cfg.general.Max-dirección: 2500

 

Aquí está un gráfico que muestra el hardware y las entradas de dirección máxima:

HardwareEntradas de la dirección máxima

PA-200

PA-220

PA-500

PA-820

2500

PA-850

3500

PA-3020

5000

PA-3050

PA-3060

PA-5020

10000

PA-5050

PA-5220

40000

PA-5060

PA-5250

PA-5260

PA-7050

80000

 

 

Al ejecutar PAN-OS 7.0. x y abajo en un PA-200, puede tener:

  • UN máximo de 10 listas de bloques externos
  • Un máximo de 50000 IPS en todas las listas externas combinadas. (1 lista con IPs 50000 o 10 listas con 5000 IPs ambos son compatibles)

Si utilizas más de 10 EBLs en un dispositivo, verá el siguiente error durante commit:

      Superior al número máximo de listas de admitidos bloque externo (10)

 

Nota: si está presionando objetos EBL compartidos de panorama a un dispositivo con varios Vsys habilitados, puede ejecutar un problema donde cada EBL se cuenta una vez por Vsys. Por ejemplo, si ha creado 10 Vsys #1 EBLs específicos y, a continuación, otros 10 Vsys #2 EBLs específicos, el empuje hacia el cortafuegos fallará ya que excede el límite de la lista de bloques externos 10 de pan-os 7.0. x y más abajo. Esto era un problema que ha resuelto un cambio arquitectónico en PAN-OS 7.1.

 

Si el número de entró él excede el número total de capacidad, se puede ver el siguiente error en los registros del sistema:

      EBL (<ebl-name>) superior al número máximo de ips en línea XXXX</ebl-name>

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVYCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language