セッションが確立され、親セッション情報が確立されているかどうかを確認する方法
52211
Created On 04/26/19 09:18 AM - Last Modified 03/26/21 17:39 PM
Objective
予測によってセッションが確立されているかどうかを確認する方法と、親セッション情報を確認する方法。
Environment
PAN-OS
Procedure
予測セッションのリストを取得するには、次を
実行します。
admin@Firewall> show session all filter type predict -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 504 ftp-data ACTIVE PRED 10.59.59.132[0]/L3-DMZ/6 (10.59.59.132[0]) vsys1 172.16.59.100[16889]/L3-Inside (172.16.59.100[16889])
セッションの詳細は、親セッションを明らかにします。
admin@Firewall> show session id 504
Session 504
c2s flow:
source: 10.59.59.132 [L3-DMZ]
dst: 172.16.59.100
proto: 6
sport: 0 dport: 16889
state: ACTIVE type: PRED
src user: unknown
dst user: unknown
s2c flow:
source: 172.16.59.100 [L3-Inside]
dst: 10.59.59.132
proto: 6
sport: 16889 dport: 0
state: OPENING type: PRED
src user: unknown
dst user: unknown
start time : Fri Apr 26 01:40:38 2019
timeout : 60 sec
time to live : 27 sec
total byte count(c2s) : 0
total byte count(s2c) : 0
layer7 packet count(c2s) : 0
layer7 packet count(s2c) : 0
vsys : vsys1
application : ftp-data
rule :
service timeout override(index) : False
session to be logged at end : False
session in session ager : True
session updated by HA peer : False
parent session : 409
prediction triggered by : client
prediction matched once : True
end-reason : unknown
行の「親セッション」は、親セッションを示します。 これで、親セッションの詳細を取得
できます。 <id></id>
admin@Firewall> show session id 409 Session 409 c2s flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16816 dport: 21 state: ACTIVE type: FLOW src user: unknown dst user: unknown s2c flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 21 dport: 16816 state: ACTIVE type: FLOW src user: unknown dst user: unknown start time : Fri Apr 26 01:32:30 2019 timeout : 1800 sec time to live : 1762 sec total byte count(c2s) : 921 total byte count(s2c) : 783 layer7 packet count(c2s) : 14 layer7 packet count(s2c) : 9 vsys : vsys1 application : ftp rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False layer7 processing : enabled ctd version : 2 URL filtering enabled : False session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/5 egress interface : ethernet1/4 session QoS rule : N/A (class 4) end-reason : unknown
予測セッションに対してデータ パケットが到着すると、通常のフロー セッションに変換されます。
admin@Firewall> show session id 506 Session 506 c2s flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 20 dport: 16889 state: ACTIVE type: FLOW src user: unknown dst user: unknown offload: Yes s2c flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16889 dport: 20 state: ACTIVE type: FLOW src user: unknown dst user: unknown offload: Yes start time : Fri Apr 26 01:41:54 2019 timeout : 15 sec time to live : 1 sec total byte count(c2s) : 22061222 total byte count(s2c) : 513606 layer7 packet count(c2s) : 20465 layer7 packet count(s2c) : 8560 vsys : vsys1 application : ftp-data rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : True session updated by HA peer : False layer7 processing : completed URL filtering enabled : False session via prediction : True use parent's policy : True parent session : 409 refresh parent session : True session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/4 egress interface : ethernet1/5 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd app has no decoder end-reason : tcp-fin
予測によって " FLOW " セッションがインストールされているかどうかを確認するには、"予測を介したセッション" という名前の行があるかどうかを確認します。 "True" に設定されている場合は、セッションが を介してインストールされていることを意味 PRED します。 親セッション情報は、セッションが状態にある場合にのみ表示されます ACTIVE 。
セッションが INIT (閉じた) に移動すると、親セッション情報は失われます。
admin@Firewall> show session id 506 Session 506 c2s flow: source: 10.59.59.132 [L3-DMZ] dst: 172.16.59.100 proto: 6 sport: 20 dport: 16889 state: INIT type: FLOW src user: unknown dst user: unknown s2c flow: source: 172.16.59.100 [L3-Inside] dst: 10.59.59.132 proto: 6 sport: 16889 dport: 20 state: INIT type: FLOW src user: unknown dst user: unknown start time : Fri Apr 26 01:41:54 2019 timeout : 15 sec total byte count(c2s) : 22077452 total byte count(s2c) : 513786 layer7 packet count(c2s) : 20481 layer7 packet count(s2c) : 8563 vsys : vsys1 application : ftp-data rule : Inside-DMZ service timeout override(index) : False session to be logged at end : True session in session ager : False session updated by HA peer : False layer7 processing : completed URL filtering enabled : False session via prediction : True use parent's policy : True session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/4 egress interface : ethernet1/5 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd app has no decoder end-reason : tcp-fin
上記の出力では、「親セッション」行が使用できないことがわかりますが、セッションが実際に予測を介して行われたかどうかがわかります。
Additional Information
ALG のセッションはオフロードされません。 アプリケーションが予測セッションを作成できるかどうかを確認するには、 からアプリケーション定義を作成 CLI します。 Web インターフェイスには、この情報は表示されません。
admin@Firewall# show predefined application ftp
ftp {
category general-internet;
subcategory file-sharing;
technology client-server;
alg yes; <<<<
appident yes;
予測セッションとは何ですか? 予測セッションの詳細については、以下の記事を参照してください:
パロアルトネットワーク Firewall セッションの概要セッション
の状態とタイプ