L'option IP autorisée sur les blocs d'interface de gestion bloque les paquets d'erreur ICMP

L'option IP autorisée sur les blocs d'interface de gestion bloque les paquets d'erreur ICMP

54807
Created On 09/25/18 19:38 PM - Last Modified 06/02/23 09:46 AM


Resolution


Problème

Dans le cadre de notre fonction d'interface de gestion, la zone «adresses IP permises» permet de restreindre l'accès des hôtes/sous-réseaux non désirés à l'interface de gestion.

 

Cette option se trouve dans le WebGUI > Device > Setup > interfaces:

 

Dans Pan-OS 8,0, l'écran de L'interface de gestion ressemble à ceci:

2018-04 -17_mgmt-int-8-0. png

 

Dans Pan-OS 8,1, l'écran de L'interface de gestion ressemble à ceci:

2018-04 -17_mgmt-int-8-1. png

 

Cette fonctionnalité filtre non seulement l'adresse IP source de l'accès aux hôtes distants, mais bloque également la réponse ICMP légitime pour les tentatives de l'interface de gestion elle-même à l'hôte distant. (Veuillez vous référer à la liste ci-dessous.)

 

Les tentatives suivantes de l'interface de gestion ne fonctionnent pas si la configuration permis-IP bloque l'adresse IP source de «erreur ICMP».

 

Remarque:la source D'erreur ICMP n'est pas l'adresse IP de destination de votre tentative la plupart du temps. 

 

  • Traceroute: ICMP TTL dépassé (type11) est utilisé pour détecter les périphériques Layer3 dans le chemin. Adresse IP source pour l'erreur sera Layer3 périphérique dans le chemin.
  • PathMTU Discovery: ICMP Destination unreacheable/fragment needed (Type3/entreprise4) est utilisé pour fournir l'erreur et suggéré MTU. IP source de l'erreur ICMP sera Layer3 périphérique dans le chemin
  • ICMP redirection: ICMP Redirect Message (type5) est utilisé, puis Layer3 Device dans la passerelle par défaut qui a une meilleure prochaine passerelle hop dans le même sous-réseau de l'interface de gestion.

Raison

C'est selon la conception pour bloquer le trafic de l'IP/sous-réseau indésirable.

 

La seule exception est ICMP Echo Reply (type0/Code0) pour la demande d'écho de l'interface de gestion. Par conséquent, ping à partir de l'interface de gestion ne sera pas affectée par la fonction permis-IP.

 

Solution

Ajoutez l'ADRESSE IP/sous-réseau source pour la source d'erreur ICMP.

 

Remarque: dans le scénario du chemin MTU Discovery pour la connexion SSL/SSH, le bit DF est généralement défini pour un paquet chiffré.

Ainsi, la suppression de "ICMP Destination unreacheable/fragment nécessaire" par permis-IP peut provoquer un problème de connexion grave.

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clb4CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language