Opción IP permitida en la interfaz de administración bloquea paquetes de error ICMP

Opción IP permitida en la interfaz de administración bloquea paquetes de error ICMP

54799
Created On 09/25/18 19:38 PM - Last Modified 06/02/23 09:46 AM


Resolution


Problema

Como parte de nuestra función de interfaz de administración, el área "direcciones IP permitidas" ayuda a restringir el acceso de los hosts/subredes no deseados a la interfaz de administración.

 

Esta opción se puede encontrar en el webgui > dispositivo > configuración > interfaces:

 

En pan-OS 8,0, la pantalla de interfaz de gestión se ve así:

2018-04 -17_mgmt-int-8-0. png

 

En pan-OS 8,1, la pantalla de interfaz de gestión se ve así:

2018-04 -17_mgmt-int-8-1. png

 

Esta característica no sólo filtra estrictamente la IP de origen para acceder a hosts remotos, sino que también bloquea la respuesta ICMP legítima para los intentos de la propia interfaz de administración al host remoto. (Por favor refiérase a la lista de abajo).

 

Los siguientes intentos de la interfaz de administración no funcionan si la configuración de permiso-IP bloquea la IP de origen de "error ICMP".

 

Nota:la fuente de error ICMP no es la IP de destino para su intento la mayor parte del tiempo. 

 

  • Ruta de acceso: se utiliza ICMP TTL excedido (Type11) para detectar dispositivos layer3 en el path. La dirección IP de origen para el error será layer3 dispositivo en la ruta de acceso.
  • PathMTU Discovery: ICMP Destination desenbocadura/fragmento necesario (Type3/Code4) se utiliza para entregar el error y el MTU sugerido. La IP de origen del error ICMP será el dispositivo layer3 en la ruta de acceso
  • ICMP Redirect: se utiliza el mensaje ICMP Redirect (Type5), luego el dispositivo layer3 en la puerta de enlace predeterminada que tiene mejor Gateway Next hop en la misma subred de la interfaz de administración.

Razón

Esto es según el diseño para bloquear el tráfico de la IP/subred no deseadas.

 

La única excepción es la respuesta de eco ICMP (Type0/Code0) para la solicitud de eco de la interfaz de administración. Por lo tanto, ping de la interfaz de administración no se verá afectado por la característica permiso-IP.

 

Solución

Agregar IP/subred de origen para el origen del error ICMP.

 

Nota: en el escenario del descubrimiento de Path MTU para la conexión SSL/SSH, el bit DF se establece comúnmente para un paquete cifrado.

Así que la caída de "ICMP Destination desenbocadura/fragmento necesario" por permiso-IP puede causar un problema de conexión grave.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clb4CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language