セッションが確立され、親セッション情報が確立されているかどうかを確認する方法
52211
Created On 04/26/19 09:18 AM - Last Modified 03/26/21 17:39 PM
Objective
予測によってセッションが確立されているかどうかを確認する方法と、親セッション情報を確認する方法。
Environment
PAN-OS
Procedure
予測セッションのリストを取得するには、次を
実行します。
admin@Firewall> show session all filter type predict -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 504 ftp-data ACTIVE PRED 10.59.59.132[0]/L3-DMZ/6 (10.59.59.132[0]) vsys1 172.16.59.100[16889]/L3-Inside (172.16.59.100[16889])
セッションの詳細は、親セッションを明らかにします。
admin@Firewall> show session id 504
Session 504
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 0 dport: 16889
state: ACTIVE type: PRED
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 0
state: OPENING type: PRED
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:40:38 2019
timeout : 60 sec
time to live : 27 sec
total byte count(c2s) : 0
total byte count(s2c) : 0
layer7 packet count(c2s) : 0
layer7 packet count(s2c) : 0
vsys : vsys1
application : ftp-data
rule :
service timeout override(index) : False
session to be logged at end : False
session in session ager : True
session updated by HA peer : False
parent session : 409
prediction triggered by : client
prediction matched once : True
end-reason : unknown行の「親セッション」は、親セッションを示します。 これで、親セッションの詳細を取得
できます。 <id></id>
admin@Firewall> show session id 409
Session 409
c2s flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16816 dport: 21
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 21 dport: 16816
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:32:30 2019
timeout : 1800 sec
time to live : 1762 sec
total byte count(c2s) : 921
total byte count(s2c) : 783
layer7 packet count(c2s) : 14
layer7 packet count(s2c) : 9
vsys : vsys1
application : ftp
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : enabled
ctd version : 2
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/5
egress interface : ethernet1/4
session QoS rule : N/A (class 4)
end-reason : unknown予測セッションに対してデータ パケットが到着すると、通常のフロー セッションに変換されます。
admin@Firewall> show session id 506
Session 506
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 20 dport: 16889
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 20
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
offload: Yes
start time : Fri Apr 26 01:41:54 2019
timeout : 15 sec
time to live : 1 sec
total byte count(c2s) : 22061222
total byte count(s2c) : 513606
layer7 packet count(c2s) : 20465
layer7 packet count(s2c) : 8560
vsys : vsys1
application : ftp-data
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via prediction : True
use parent's policy : True
parent session : 409
refresh parent session : True
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/4
egress interface : ethernet1/5
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
tracker stage l7proc : ctd app has no decoder
end-reason : tcp-fin予測によって " FLOW " セッションがインストールされているかどうかを確認するには、"予測を介したセッション" という名前の行があるかどうかを確認します。 "True" に設定されている場合は、セッションが を介してインストールされていることを意味 PRED します。 親セッション情報は、セッションが状態にある場合にのみ表示されます ACTIVE 。
セッションが INIT (閉じた) に移動すると、親セッション情報は失われます。
admin@Firewall> show session id 506
Session 506
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 20 dport: 16889
state: INIT type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 20
state: INIT type: FLOW
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:41:54 2019
timeout : 15 sec
total byte count(c2s) : 22077452
total byte count(s2c) : 513786
layer7 packet count(c2s) : 20481
layer7 packet count(s2c) : 8563
vsys : vsys1
application : ftp-data
rule : Inside-DMZ
service timeout override(index) : False
session to be logged at end : True
session in session ager : False
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via prediction : True
use parent's policy : True
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/4
egress interface : ethernet1/5
session QoS rule : N/A (class 4)
tracker stage firewall : TCP FIN
tracker stage l7proc : ctd app has no decoder
end-reason : tcp-fin上記の出力では、「親セッション」行が使用できないことがわかりますが、セッションが実際に予測を介して行われたかどうかがわかります。
Additional Information
ALG のセッションはオフロードされません。 アプリケーションが予測セッションを作成できるかどうかを確認するには、 からアプリケーション定義を作成 CLI します。 Web インターフェイスには、この情報は表示されません。
admin@Firewall# show predefined application ftp
ftp {
category general-internet;
subcategory file-sharing;
technology client-server;
alg yes; <<<<
appident yes;予測セッションとは何ですか? 予測セッションの詳細については、以下の記事を参照してください:
パロアルトネットワーク Firewall セッションの概要セッション
の状態とタイプ