Cómo verificar si se establece una sesión y la información de la sesión de los padres
52229
Created On 04/26/19 09:18 AM - Last Modified 03/26/21 17:39 PM
Objective
Cómo comprobar si una sesión se establece a través de la predicción y cómo comprobar la información de la sesión primaria.
Environment
PAN-OS
Procedure
Para obtener la lista de sesiones de predicción, puede ejecutar:
mostrar sesión todo el tipo de filtro predecir
admin@Firewall> show session all filter type predict -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 504 ftp-data ACTIVE PRED 10.59.59.132[0]/L3-DMZ/6 (10.59.59.132[0]) vsys1 172.16.59.100[16889]/L3-Inside (172.16.59.100[16889])
Los detalles de la sesión revelarían la sesión principal:
admin@Firewall> show session id 504
Session 504
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 0 dport: 16889
state: ACTIVE type: PRED
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 0
state: OPENING type: PRED
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:40:38 2019
timeout : 60 sec
time to live : 27 sec
total byte count(c2s) : 0
total byte count(s2c) : 0
layer7 packet count(c2s) : 0
layer7 packet count(s2c) : 0
vsys : vsys1
application : ftp-data
rule :
service timeout override(index) : False
session to be logged at end : False
session in session ager : True
session updated by HA peer : False
parent session : 409
prediction triggered by : client
prediction matched once : True
end-reason : unknown
La fila "sesión primaria" indica la sesión primaria. Ahora puede obtener los detalles de la sesión principal usando:
mostrar id <id></id> de sesión
admin@Firewall> show session id 409 Session 409 c2s flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16816 dport: 21 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 21 dport: 16816 state: ACTIVE type: FLOW src user: unknown dst user: unknown start time : Fri Apr 26 01:32:30 2019 timeout : 1800 sec time to live : 1762 sec total byte count(c2s) : 921 total byte count(s2c) : 783 layer7 packet count(c2s) : 14 layer7 packet count(s2c) : 9 vsys : vsys1 application : ftp rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False layer7 processing : enabled ctd version : 2 URL filtering enabled : False session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/5 egress interface : ethernet1/4 session QoS rule : N/A (class 4) end-reason : unknown
Cuando el paquete de datos llega para la sesión de predicción, se convierte en una sesión de flujo normal.
admin@Firewall> show session id 506 Session 506 c2s flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 20 dport: 16889 state: ACTIVE type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16889 dport: 20 state: ACTIVE type: FLOW src user: unknown dst user: unknown offload: Yes start time : Fri Apr 26 01:41:54 2019 timeout : 15 sec time to live : 1 sec total byte count(c2s) : 22061222 total byte count(s2c) : 513606 layer7 packet count(c2s) : 20465 layer7 packet count(s2c) : 8560 vsys : vsys1 application : ftp-data rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False layer7 processing : completed URL filtering enabled : False session via prediction : True use parent's policy : True parent session : 409 refresh parent session : True session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/4 egress interface : ethernet1/5 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd app has no decoder end-reason : tcp-fin
Para saber si una sesión " FLOW " está instalada a través de la predicción, compruebe si hay una fila denominada "sesión a través de predicción." Si se establece en "True", esto significa que la sesión se instala a través de PRED . La información de la sesión primaria solo está visible siempre y cuando la sesión esté en ACTIVE estado.
Si la sesión se mueve a INIT (cerrado) se pierde la información de la sesión principal.
admin@Firewall> show session id 506 Session 506 c2s flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 20 dport: 16889 state: INIT type: FLOW src user: unknown dst user: unknown s2c flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16889 dport: 20 state: INIT type: FLOW src user: unknown dst user: unknown start time : Fri Apr 26 01:41:54 2019 timeout : 15 sec total byte count(c2s) : 22077452 total byte count(s2c) : 513786 layer7 packet count(c2s) : 20481 layer7 packet count(s2c) : 8563 vsys : vsys1 application : ftp-data rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : False session updated by HA peer : False layer7 processing : completed URL filtering enabled : False session via prediction : True use parent's policy : True session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/4 egress interface : ethernet1/5 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd app has no decoder end-reason : tcp-fin
En la salida anterior, puede ver que la fila "sesión primaria" no está disponible, pero todavía podríamos ver si la sesión fue realmente a través de predicción.
Additional Information
ALG sesiones capaces no se descargan. Para comprobar si una aplicación puede crear una sesión de predicción, cree la definición de aplicación a partir de CLI . La interfaz web no muestra esta información.
admin@Firewall# show predefined application ftp
ftp {
category general-internet;
subcategory file-sharing;
technology client-server;
alg yes; <<<<
appident yes;
¿Qué es una sesión de predicción? Para obtener más información acerca de las sesiones de predicción, consulte los siguientes artículos:Estado y tipos
de sesión de Referencia de sesión
Firewall de Palo Alto Networks