Cómo verificar si se establece una sesión y la información de la sesión de los padres
67863
Created On 04/26/19 09:18 AM - Last Modified 03/26/21 17:39 PM
Objective
Cómo comprobar si una sesión se establece a través de la predicción y cómo comprobar la información de la sesión primaria.
Environment
PAN-OS
Procedure
Para obtener la lista de sesiones de predicción, puede ejecutar:
mostrar sesión todo el tipo de filtro predecir
admin@Firewall> show session all filter type predict -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 504 ftp-data ACTIVE PRED 10.59.59.132[0]/L3-DMZ/6 (10.59.59.132[0]) vsys1 172.16.59.100[16889]/L3-Inside (172.16.59.100[16889])
Los detalles de la sesión revelarían la sesión principal:
admin@Firewall> show session id 504
Session 504
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 0 dport: 16889
state: ACTIVE type: PRED
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 0
state: OPENING type: PRED
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:40:38 2019
timeout : 60 sec
time to live : 27 sec
total byte count(c2s) : 0
total byte count(s2c) : 0
layer7 packet count(c2s) : 0
layer7 packet count(s2c) : 0
vsys : vsys1
application : ftp-data
rule :
service timeout override(index) : False
session to be logged at end : False
session in session ager : True
session updated by HA peer : False
parent session : 409
prediction triggered by : client
prediction matched once : True
end-reason : unknownLa fila "sesión primaria" indica la sesión primaria. Ahora puede obtener los detalles de la sesión principal usando:
mostrar id <id></id> de sesión
admin@Firewall> show session id 409
Session 409
c2s flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16816 dport: 21
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 21 dport: 16816
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:32:30 2019
timeout : 1800 sec
time to live : 1762 sec
total byte count(c2s) : 921
total byte count(s2c) : 783
layer7 packet count(c2s) : 14
layer7 packet count(s2c) : 9
vsys : vsys1
application : ftp
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : enabled
ctd version : 2
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/5
egress interface : ethernet1/4
session QoS rule : N/A (class 4)
end-reason : unknownCuando el paquete de datos llega para la sesión de predicción, se convierte en una sesión de flujo normal.
admin@Firewall> show session id 506
Session 506
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 20 dport: 16889
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 20
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
start time : Fri Apr 26 01:41:54 2019
timeout : 15 sec
time to live : 1 sec
total byte count(c2s) : 22061222
total byte count(s2c) : 513606
layer7 packet count(c2s) : 20465
layer7 packet count(s2c) : 8560
vsys : vsys1
application : ftp-data
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via prediction : True
use parent's policy : True
parent session : 409
refresh parent session : True
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/4
egress interface : ethernet1/5
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
tracker stage l7proc : ctd app has no decoder
end-reason : tcp-finPara saber si una sesión " FLOW " está instalada a través de la predicción, compruebe si hay una fila denominada "sesión a través de predicción." Si se establece en "True", esto significa que la sesión se instala a través de PRED . La información de la sesión primaria solo está visible siempre y cuando la sesión esté en ACTIVE estado.
Si la sesión se mueve a INIT (cerrado) se pierde la información de la sesión principal.
admin@Firewall> show session id 506
Session 506
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 20 dport: 16889
state: INIT type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 20
state: INIT type: FLOW
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:41:54 2019
timeout : 15 sec
total byte count(c2s) : 22077452
total byte count(s2c) : 513786
layer7 packet count(c2s) : 20481
layer7 packet count(s2c) : 8563
vsys : vsys1
application : ftp-data
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : False
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via prediction : True
use parent's policy : True
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/4
egress interface : ethernet1/5
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
tracker stage l7proc : ctd app has no decoder
end-reason : tcp-finEn la salida anterior, puede ver que la fila "sesión primaria" no está disponible, pero todavía podríamos ver si la sesión fue realmente a través de predicción.
Additional Information
ALG sesiones capaces no se descargan. Para comprobar si una aplicación puede crear una sesión de predicción, cree la definición de aplicación a partir de CLI . La interfaz web no muestra esta información.
admin@Firewall# show predefined application ftp
ftp {
category general-internet;
subcategory file-sharing;
technology client-server;
alg yes; <<<<
appident yes;¿Qué es una sesión de predicción? Para obtener más información acerca de las sesiones de predicción, consulte los siguientes artículos:Estado y tipos
de sesión de Referencia de sesión
Firewall de Palo Alto Networks