La transmission basée sur des stratégies ne fonctionne pas pour le trafic provenant du pare-feu de Palo Alto Networks

La transmission basée sur des stratégies ne fonctionne pas pour le trafic provenant du pare-feu de Palo Alto Networks

102425
Created On 09/25/18 19:38 PM - Last Modified 10/10/23 14:23 PM


Resolution


Demande client

Lors de la configuration d'une règle de transfert de stratégie (PBF) pour transférer tout le trafic provenant d'une zone vers Internet via un FAI, la règle ne prendra effet que pour la station de travail derrière le pare-feu de Palo Alto Networks et non pour le trafic provenant du pare-feu .

 

Cause

Lorsqu'un itinéraire est présent dans la table de routage, ainsi qu'une règle PBF, seule la règle PBF sera évaluée en premier dans une base de haut en bas correspondant à l'Entrée spécifique. Toutefois, cela s'applique uniquement pour le trafic provenant d'une station de travail derrière le pare-feu. Lorsqu'une règle PBF est en place pour transférer tout le trafic d'une zone de confiance vers une zone non approuvée, la règle n'entre en vigueur que lorsque le trafic provient de la station de travail derrière le pare-feu de Palo Alto Networks. Toutefois, lorsque vous tentez de sourcer le trafic à partir du pare-feu, il contournera l'évaluation de la table PBF et commencera à évaluer la vérification de la table de routage pour un itinéraire correspondant pour acheminer le trafic hors de l'interface de sortie.

 

De la WebGUI aller au réseau > interfaces > Ethernet, dans le scénario suivant les interfaces sont configurées, comme indiqué ci-dessous:

4.JPG

 

Sous réseau > routeurs virtuels > itinéraires statiques, il y a une route par défaut en place, comme indiqué ci-dessous:

1.JPG

 

Lors de l'approvisionnement du trafic à partir de la station de travail voir les informations de session, comme indiqué ci-dessous:

Session à travers la route. Jpg

 

À partir du WebGUI, accédez à Device > redirection basée sur la stratégie et créez la règle PBF suivante, qui est identique à l'itinéraire par défaut:

règle PBF. Jpg

 

Lors de l'approvisionnement du trafic à partir de la station de travail, consultez les informations de session comme indiqué ci-dessous (en dépit de l'itinéraire par défaut déjà existant, seule la règle PBF est évaluée en premier):

Session par PBF. Jpg

 

Lorsque vous essayez de faire un ping continu à partir de la station de travail derrière le pare-feu et l'interface de confiance du pare-feu à la 4.2.2.2 IP publique, les deux pings ont été couronnés de succès. C'est parce que le trafic provenant de la station de travail utilisé la règle PBF, et le trafic provenant du pare-feu utilisé la table de routage:

Working. jpg

 

Seul l'itinéraire par défaut a été supprimé, le trafic provenant de la station de travail passait avec succès à l'Aide de la règle PBF, mais le trafic provenant du pare-feu a échoué, montré ci-dessous que l'itinéraire par défaut est supprimé:

Ne fonctionne pas. JPG

 

Le PBF ne fonctionne que pour le trafic provenant d'une machine derrière le pare-feu et non pour le trafic provenant du pare-feu.

 

Les limitations suivantes sont connues:

  1. PBF ne fonctionne pas pour le trafic tunnel IPSec vers le pare-feu de Palo Alto Networks.
  2. PBF ne fonctionne pas pour le tunnel de phase 1 à venir, il doit utiliser l'itinéraire par défaut de la table de routage pour lancer l'IKE
  3. PBF ne fonctionne pas pour la connexion GlobalProtect
  4. Lors de l'utilisation des applications pour les règles PBF, la correspondance de signature d'application pour le trafic TCP vient après la poignée de main à 3 voies. Ainsi, la règle PBF peut ne pas correspondre à la poignée de main initiale à 3 voies et ainsi traverser le pare-feu en fonction uniquement sur le parcours de recherche.

 

propriétaire : dantony
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbDCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language