Firewall está dejando caer paquetes fragmentados cuando la protección de zona está habilitada

Firewall está dejando caer paquetes fragmentados cuando la protección de zona está habilitada

51062
Created On 11/20/19 04:15 AM - Last Modified 03/26/21 17:55 PM


Symptom


  • Firewall cae los paquetes y los incrementos "flow_dos_pf_ipfrag" del contador global.
> mostrar contador global filtro global paquete-filtro sí delta sí

Contadores globales:

Tiempo transcurrido desde el último muestreo: 3.917 segundos

descripción del aspecto de la categoría de gravedad de la tasa de valor de nombre

--------------------------------------------------------------------------------

flow_dos_pf_ipfrag 2 0 de flujo de caída dos Paquetes caídos: Opción de protección de zona 'discard-ip-frag'
 

  • Refiera por favor el documento abajo que explica cómo marcar el contador global para un tráfico específico:
       Cómo comprobar los contadores globales para una dirección de origen y destino específica IP

 

Environment


  • Protección de zona configurada con "discard-ip-frag" habilitado

Cause


  • Firewall caerá todos los paquetes fragmentados recibidos si la zona receptora tiene una protección de zona configurada con la opción "Tráfico fragmentado" habilitada.
  • Puede ejecutar el siguiente comando CLI para comprobar si la configuración está configurada

       > mostrar zona de protección <ingress zone="" name=""></ingress>

------------------------------------------------------------------------------------------

Número de zonas con perfil de protección: 1

------------------------------------------------------------------------------------------

Zona L3-Trust, vsys vsys1, perfil Muestra

------------------------------------------------------------------------------------------

Filtro IPv(4/6):

discard-ip-frag: habilitado: sí, paquete caído: 10 ---> La opción está habilitada aquí

tcp-reject-non-syn: habilitado: sí, (global), paquete caído: 0

discard-tcp-syn-with-data: enabled: yes, packet dropped: 0

discard-tcp-synack-with-data: enabled: yes, packet dropped: 0

Filtro de paquetes IPv4:

Filtro de paquetes IPv6:

------------------------------------------------------------------------------------------
 

Resolution


  • Si se trata de un tráfico legítimo que desea permitir, puede deshabilitar la opción para permitir el tráfico fragmentado.

      Nota:Deshabilitar la "caída de tráfico fragmentado" puede tener un riesgo de seguridad. Si usted no desea cambiar esta opción entonces usted necesita marcar el dispositivo ascendente para ver por qué firewall está recibiendo los paquetes fragmentados.

Desde GUI :
  • Seleccione Network --> Network Profiles --> Zone protection
  • Haga clic en el nombre de la protección de la zona
  • Seleccione la pestaña "Protección contra ataques basados en paquetes" y la colocación de subtab IP
  • Desmarque la opción "Tráfico fragmentado" y haga clic en OK
       Imagen de usuario añadido
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNZMCA4&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language