Comment le Palo Alto Networks pare-feu gère le trafic fragmenté

Vue d’ensemble

Ce document explique comment Palo Alto Networks firewalls gérer la circulation fragmentée en trois scénarios différents.

Scénario A

L’hôte A envoie un paquet IP de 1500 octets de l’hôte B.

Le pare-feu de Palo Alto Networks a à fragmenter le trafic reçu sur l’interface 1/1 avant qui sur l’Interface 1/2.

Si le bit de DF est placé dans L'en-tête d'IP, l'appareil de Palo Alto Networks n'est pas fragmenter le trafic, il le rejette et envoie ICMP: fragmentation nécessaire à l'expéditeur avec MTU attendu.

Compteur global, flow_fwd_ip_df, si le bit DF est défini dans L'en-tête IP:

flow_fwd_ip_df 1 goutte 0 flux transmettre des paquets a chuté : MTU a dépassé mais DF peu présent

Si le bit DF n' est pas défini dans L'en-tête IP, le pare-feu fragmente le trafic en fonction de la MTU de l'interface de sortie et transmet le trafic fragmenté à eth1/2.

Le texte suivant s’affiche dans les compteurs globaux :

longueurs de paquets avant flow_fwd_mtu_exceeded 1 0 info débit dépassaient MTU

flow_ipfrag_frag 2 0 info débit ipfrag IP fragments transmis

Scénario B

L’hôte A envoie un paquet IP de 1500 octets de l’hôte B.

L’hôte A est de fragmenter le paquet IP pour correspondre avec son interface ethA MTU.

Les paquets fragmentés arrivera sur eth1/1 du Firewall Palo Alto Networks.

Fragmenté trafic va être remonté tout d’abord aux fins d’inspection, avant d’être transféré à évacuation interface eth1/2 selon la sortie MTU.  Remontage est exécuté strictement aux fins d’inspection du contenu, pas pour le transfert de trafic.  Notez que les fragments seront transmises sur ordre, pas nécessairement l’ordre dans lequel ils ont été reçus.

Compteurs globaux :

fragments IP ipfrag de flow_ipfrag_recv 4 1 info flux reçus

flow_ipfrag_free 2 0 info débit ipfrag IP fragments libérés après la défragmentation

flow_ipfrag_merge 2 0 info débit ipfrag IP défragmentation achevée

flow_ipfrag_frag 4 1 info débit ipfrag IP fragments transmis

propriétaire : nbilly