Erlaubte IP-Option auf Management-Schnittstelle blockiert ICMP-fehlerpakete

Erlaubte IP-Option auf Management-Schnittstelle blockiert ICMP-fehlerpakete

54793
Created On 09/25/18 19:38 PM - Last Modified 06/02/23 09:46 AM


Resolution


Problem

Als Teil unserer Management-Interface-Funktion hilft der Bereich "durch die IP-Adressen", den Zugriff von unerwünschten Hosts/Subnetzen auf die Management-Schnittstelle zu beschränken.

 

Diese Option finden Sie im WEBGUI > Gerät > Setup > Interfaces:

 

In Pan-OS 8,0 sieht der Management-Interface-Bildschirm so aus:

2018-04 -17_mgmt-int-8-0. png

 

In Pan-OS 8,1 sieht der Management-Interface-Bildschirm so aus:

2018-04 -17_mgmt-int-8-1. png

 

Dieses Feature filtert nicht nur die Quell IP streng vom Zugriff auf entfernte Hosts, sondern blockiert auch die legitime ICMP-Reaktion für Versuche der Management-Schnittstelle selbst zum entfernten Host. (Siehe die folgende Liste.)

 

Die folgenden Versuche der Management-Schnittstelle funktionieren nicht, wenn die Erlaubnis-IP-Konfiguration die Quelle-IP des "ICMP-Fehlers" blockiert.

 

Hinweis:die Quelle des ICMP-Fehlers ist nicht die Ziel-IP für Ihren Versuch die meiste Zeit

 

  • Traceroute: ICMP TTL überschritten (Type11) wird verwendet, um Layer3 Geräte im Pfad zu erkennen. Quelle-IP-Adresse für den Fehler wird Layer3 Gerät in den Pfad.
  • PathMTU Discovery: ICMP Destination unerreichbar/Fragment erforderlich (Typ 3/Code4) wird verwendet, um den Fehler zu liefern und schlug der MTU. Quelle IP des ICMP-Fehlers wird Layer3 Gerät im Pfad sein
  • ICMP-Umleitung: ICMP-Redirect-Nachricht (Type5) wird verwendet, dann Layer3-Gerät im Standard-Gateway, das bessere nächste Hop-Gateway im gleichen Subnetz der Management-Schnittstelle hat.

Grund

Dies ist per Design, um den Verkehr aus dem unerwünschten IP/Subnet zu blockieren.

 

Die einzige Ausnahme ist die ICMP Echo-Antwort (Type0/Code0) für Echo-Anfrage von der Management-Schnittstelle. Daher wird das Ping von der Management-Schnittstelle nicht von der Erlaubnis-IP-Funktion beeinflusst.

 

Lösung

Fügen Sie Source IP/Subnet für die Quelle des ICMP-Fehlers hinzu.

 

Hinweis: im Szenario des Pfades MTU Discovery für SSL/SSH-Verbindung wird DF Bit häufig für ein verschlüsseltes Paket gesetzt.

So kann das Ablegen von "ICMP Destination unerreichbar/Fragment benötigt" durch Erlaubnis-IP ein ernstes Verbindungsproblem verursachen.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clb4CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language