Comment vérifier si une session est établie et les informations de la session parent
52219
Created On 04/26/19 09:18 AM - Last Modified 03/26/21 17:39 PM
Objective
Comment vérifier si une session est établie via la prédiction et comment vérifier les informations de session parent.
Environment
PAN-OS
Procedure
Pour obtenir la liste des sessions de prédiction, vous pouvez exécuter : afficher
la session tout type de filtre prédire
admin@Firewall> show session all filter type predict -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 504 ftp-data ACTIVE PRED 10.59.59.132[0]/L3-DMZ/6 (10.59.59.132[0]) vsys1 172.16.59.100[16889]/L3-Inside (172.16.59.100[16889])
Les détails de la session révéleraient la session parent :
admin@Firewall> show session id 504
Session 504
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 0 dport: 16889
state: ACTIVE type: PRED
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 0
state: OPENING type: PRED
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:40:38 2019
timeout : 60 sec
time to live : 27 sec
total byte count(c2s) : 0
total byte count(s2c) : 0
layer7 packet count(c2s) : 0
layer7 packet count(s2c) : 0
vsys : vsys1
application : ftp-data
rule :
service timeout override(index) : False
session to be logged at end : False
session in session ager : True
session updated by HA peer : False
parent session : 409
prediction triggered by : client
prediction matched once : True
end-reason : unknown
La ligne « session parent » indique la session parent. Maintenant, vous pouvez obtenir les détails de la session parent en utilisant:
afficher l’id <id></id> session
admin@Firewall> show session id 409 Session 409 c2s flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16816 dport: 21 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 21 dport: 16816 state: ACTIVE type: FLOW src user: unknown dst user: unknown start time : Fri Apr 26 01:32:30 2019 timeout : 1800 sec time to live : 1762 sec total byte count(c2s) : 921 total byte count(s2c) : 783 layer7 packet count(c2s) : 14 layer7 packet count(s2c) : 9 vsys : vsys1 application : ftp rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False layer7 processing : enabled ctd version : 2 URL filtering enabled : False session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/5 egress interface : ethernet1/4 session QoS rule : N/A (class 4) end-reason : unknown
Lorsque le paquet de données arrive pour la session de prévision, il est converti en une session de flux normale.
admin@Firewall> show session id 506 Session 506 c2s flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 20 dport: 16889 state: ACTIVE type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16889 dport: 20 state: ACTIVE type: FLOW src user: unknown dst user: unknown offload: Yes start time : Fri Apr 26 01:41:54 2019 timeout : 15 sec time to live : 1 sec total byte count(c2s) : 22061222 total byte count(s2c) : 513606 layer7 packet count(c2s) : 20465 layer7 packet count(s2c) : 8560 vsys : vsys1 application : ftp-data rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False layer7 processing : completed URL filtering enabled : False session via prediction : True use parent's policy : True parent session : 409 refresh parent session : True session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/4 egress interface : ethernet1/5 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd app has no decoder end-reason : tcp-fin
Pour savoir si une session FLOW " est installée via la prédiction, vérifiez s’il y a une ligne nommée " session via prédiction « . Si elle est définie sur « True », cela signifie que la session est installée via PRED . Les informations de session parent ne sont visibles que tant que la session est dans un ACTIVE état.
Si la session se déplace vers INIT (fermé) les informations de session parent est perdu.
admin@Firewall> show session id 506 Session 506 c2s flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 20 dport: 16889 state: INIT type: FLOW src user: unknown dst user: unknown s2c flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16889 dport: 20 state: INIT type: FLOW src user: unknown dst user: unknown start time : Fri Apr 26 01:41:54 2019 timeout : 15 sec total byte count(c2s) : 22077452 total byte count(s2c) : 513786 layer7 packet count(c2s) : 20481 layer7 packet count(s2c) : 8563 vsys : vsys1 application : ftp-data rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : False session updated by HA peer : False layer7 processing : completed URL filtering enabled : False session via prediction : True use parent's policy : True session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/4 egress interface : ethernet1/5 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd app has no decoder end-reason : tcp-fin
Dans la sortie ci-dessus, vous pouvez voir que la ligne « session parent » n’est pas disponible, mais nous pouvions encore voir si la session était en effet via la prédiction.
Additional Information
ALG les sessions capables ne sont pas déchargées. Pour vérifier si une application peut créer une session de prédiction, créez la définition de l’application à partir de CLI . L’interface Web n’affiche pas ces informations.
admin@Firewall# show predefined application ftp
ftp {
category general-internet;
subcategory file-sharing;
technology client-server;
alg yes; <<<<
appident yes;
Qu’est-ce qu’une session de prédiction? Pour plus d’informations sur les sessions de prévision, veuillez consulter les articles suivants :
Palo Alto Networks Session Firewall Overview
Session States and Types