Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
L'option IP autorisée sur les blocs d'interface de gest... - Knowledge Base - Palo Alto Networks

L'option IP autorisée sur les blocs d'interface de gestion bloque les paquets d'erreur ICMP

71312
Created On 09/25/18 19:38 PM - Last Modified 06/02/23 09:46 AM


Resolution


Problème

Dans le cadre de notre fonction d'interface de gestion, la zone «adresses IP permises» permet de restreindre l'accès des hôtes/sous-réseaux non désirés à l'interface de gestion.

 

Cette option se trouve dans le WebGUI > Device > Setup > interfaces:

 

Dans Pan-OS 8,0, l'écran de L'interface de gestion ressemble à ceci:

2018-04 -17_mgmt-int-8-0. png

 

Dans Pan-OS 8,1, l'écran de L'interface de gestion ressemble à ceci:

2018-04 -17_mgmt-int-8-1. png

 

Cette fonctionnalité filtre non seulement l'adresse IP source de l'accès aux hôtes distants, mais bloque également la réponse ICMP légitime pour les tentatives de l'interface de gestion elle-même à l'hôte distant. (Veuillez vous référer à la liste ci-dessous.)

 

Les tentatives suivantes de l'interface de gestion ne fonctionnent pas si la configuration permis-IP bloque l'adresse IP source de «erreur ICMP».

 

Remarque:la source D'erreur ICMP n'est pas l'adresse IP de destination de votre tentative la plupart du temps. 

 

  • Traceroute: ICMP TTL dépassé (type11) est utilisé pour détecter les périphériques Layer3 dans le chemin. Adresse IP source pour l'erreur sera Layer3 périphérique dans le chemin.
  • PathMTU Discovery: ICMP Destination unreacheable/fragment needed (Type3/entreprise4) est utilisé pour fournir l'erreur et suggéré MTU. IP source de l'erreur ICMP sera Layer3 périphérique dans le chemin
  • ICMP redirection: ICMP Redirect Message (type5) est utilisé, puis Layer3 Device dans la passerelle par défaut qui a une meilleure prochaine passerelle hop dans le même sous-réseau de l'interface de gestion.

Raison

C'est selon la conception pour bloquer le trafic de l'IP/sous-réseau indésirable.

 

La seule exception est ICMP Echo Reply (type0/Code0) pour la demande d'écho de l'interface de gestion. Par conséquent, ping à partir de l'interface de gestion ne sera pas affectée par la fonction permis-IP.

 

Solution

Ajoutez l'ADRESSE IP/sous-réseau source pour la source d'erreur ICMP.

 

Remarque: dans le scénario du chemin MTU Discovery pour la connexion SSL/SSH, le bit DF est généralement défini pour un paquet chiffré.

Ainsi, la suppression de "ICMP Destination unreacheable/fragment nécessaire" par permis-IP peut provoquer un problème de connexion grave.

 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,511
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clb4CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language