管理界面上允许的 IP 选项阻止 ICMP 错误数据包

问题

作为我们管理界面功能的一部分, "允许 IP 地址" 区域有助于限制从不需要的主机/子网到管理界面的访问。

此选项可在WebGUI >> 设备 > 安装 > 接口中找到:

在PAN OS 8.0 中,管理界面屏幕如下所示:

在PAN OS 8.1 中,管理界面屏幕如下所示:

此功能不仅严格地筛选源 IP 以访问远程主机, 而且还阻止从管理接口本身到远程主机的尝试的合法 ICMP 响应。(请参阅下面的列表。

如果允许 ip 配置阻止 "ICMP 错误" 的源 ip, 则从管理界面进行的以下尝试将不起作用。

注意:ICMP 错误的来源不是您尝试的大多数时间的目标 IP.  

• Traceroute:已超出 ICMP TTL (Type11) 用于检测路径中的 Layer3 设备. 错误的源 IP 地址将是路径中的 Layer3 设备。
• PathMTU 发现: ICMP 目标不能访问/片段需要 (Type3/Code4) 用于传递错误和建议的 MTU. ICMP 错误的源 IP 将在路径中 Layer3 设备
• icmp 重定向:使用 icmp 重定向消息 (Type5), 然后在默认网关中 Layer3 设备, 在管理界面的同一子网中有更好的下一跃点网关.

原因

这是根据设计来阻止来自不需要的 IP/子网的通信量。

唯一的例外是来自管理界面的回送请求的 ICMP echo 应答 (Type0/Code0). 因此, ping 从管理界面不会受到许可-ip 功能的影响。

解决方案

为 ICMP 错误源添加源 IP/子网。

注意: 在用于 SSL/SSH 连接的路径 MTU 发现方案中, DF 位通常是为加密的数据包设置的.

因此, 通过允许 ip 删除 "ICMP 目标不能访问/碎片" 可能会导致严重的连接问题。