本文档介绍用于诊断帕洛阿尔托网络防火墙上的固定门户的检查和命令。
详细
- 请确保已启用了固定门户。
- 确保在入口区域启用了用户标识。
- 请确保有一个被捕获的门户策略。
- 请记住, 在将会话重定向到固定门户之前, 需要先匹配安全策略, 这样, 如果拒绝策略匹配, 数据包将被丢弃, 并且不会将会话重定向到固定门户。
注意: 为了使固定门户能够工作, 安全策略中需要以下内容:
- 必须允许在 http 端口80上为被捕获的门户页面提供 Web 浏览和 DNS
- URL 查找需要 DNS 查询。此操作产生捕获的门户重定向。
- 固定门户使用 SSL 连接端口6080608160826083不是443。
使用以下命令重置任何已捕获的门户会话 (客户端将必须再次进行身份验证)。
以下命令中的 ip 地址是客户端的 ip 地址:
>> 调试用户 id 重置俘虏-门户 ip 地址1.1.1。1
使用以下命令检查捕获的门户日志:
> 少 mp 日志 appweb3 l3svc.log
有关详细信息, 请启用 l3svc 调试级别:
> 调试 时调试 l3svc
可以通过全局计数器查看捕获的门户会话计数器:
>> 显示计数器全球 |匹配 session_svc
下面是捕获的一个固定门户会话。固定门户将会话重定向到内部/本地固定门户端口 (6080) 和固定门户区域 (N/A):
1435247/1 10.16.2. 112 [1078]/l2-lan-信任/6 72.240.47.70 [80]/l2-lan-不信任网页浏览丢弃流
1449020/1 10.16.2. 112 [1103]/l2-lan 信任/6 72.240.47.70 [6080]/N/ssl 活动流和
1449021/1 10.16.2. 112 [1102]/l2-lan 信任/6 72.240.47.70 [80]/N/网页浏览活动流和
1432627/1 10.16.2. 112 [1060]/l2-lan 信任/6 72.240.47.70 [21]/l2-lan 不信任 ftp 丢弃流
1436228/1 10.16.2. 112 [1081]/l2-lan-信任/6 207.68.173.76 [80]/l2-lan-untru网页浏览丢弃流
有关通过 CLI 的会话的详细信息, 请键入:
>>显示会话 id 1449020
会话 1449020
c2s 流量:
来源: 10.16.2. 112 [l2-lan-信任]
dst: 72.240.47.70
运动: 1103 dport: 6080
原: 6 dir: c2s
状态: 活动类型: 流量
ipver: 4
src-用户: 0
dst-用户: 0
s2c 流量:
来源: 127.3. 1.1 [N/A]
dst: 10.16.2.112
体育: 443 dport: 1103
原始: 6 dir: s2c
状态: 活动类型: 流
ipver: 4
src-用户: 0
dst-用户: 0
开始时间: 周四 7月24日 17:10:04 2008
超时: 1800 秒
的生存时间: 1749 秒
总字节数: 3872
layer7 数据包数:12
vsys: vsys1
应用程序: ssl
规则:
要在结尾处记录的捕获门户会话: 在
会话中没有会话: 是
来自 HA 对等方的会话同步: 无
地址/端口转换: 目标
layer7 处理: 启用
的 URL 筛选功能:
主机上没有终止会话: 是
捕获的门户会话 : 是
请参见:
如何配置圈养门户
所有者: jnguyen