管理インターフェイスで許可されている IP オプション ICMP エラーパケットをブロックします。

問題

管理インターフェイス機能の一部として、"Permited IP アドレス" 領域は、不要なホスト/サブネットから管理インターフェイスへのアクセスを制限するのに役立ちます。

このオプションは、WebGUI > デバイス > 設定 > インタフェースにあります。

PAN-OS 8.0 では、管理インターフェイス画面は次のようになります。

PAN-OS 8.1 では、管理インターフェイス画面は次のようになります。

この機能は、リモートホストへのアクセスからソース IP を厳密にフィルター処理するだけでなく、管理インターフェイス自体からリモートホストへの試みに対する正当な ICMP 応答もブロックします。(下記のリストを参照してください。

許可-ip 構成が "ICMP エラー" の送信元 ip をブロックする場合、管理インターフェイスからの次の試行は機能しません。

注:ICMP エラーのソースは、あなたの試みのためのほとんどの時間の宛先 IP ではありません。 

• Traceroute: ICMP TTL を超えた (Type11) は、パス内の Layer3 デバイスを検出するために使用されます。エラーのソース IP アドレスは、パス内の Layer3 デバイスになります。
• PathMTU 検出:必要な ICMP 宛先 unreacheable/フラグメント (Type3/Code4) を使用して、エラーと推奨 MTU を提供します。ICMP エラーのソース IP は、パス内のデバイスを Layer3 されます
• icmp リダイレクト: icmp リダイレクトメッセージ (Type5) が使用され、その後、管理インターフェイスの同じサブネット内のより良い次ホップゲートウェイを持つデフォルトゲートウェイの Layer3 デバイス。

理由

これは、不要な IP/サブネットからのトラフィックをブロックする設計に従っています。

唯一の例外は、 管理インターフェイスからのエコー要求のICMP エコー応答 (Type0/Code0) です。したがって、管理インターフェイスからの ping は、許可-ip 機能の影響を受けません。

ソリューション

ICMP エラーのソースのソース IP/サブネットを追加します。

注: SSL/SSH 接続のパス MTU 検出のシナリオでは、DF ビットは通常、暗号化されたパケットに対して設定します。

だから "ICMP 宛先 unreacheable/フラグメントを許可することによって必要な" ドロップ-ip は深刻な接続の問題を引き起こす可能性があります。