Impossible de lire une vidéo sur une URL même si l’URL spécifique est autorisée via Firewall

Impossible de lire une vidéo sur une URL même si l’URL spécifique est autorisée via Firewall

20810
Created On 02/19/20 19:07 PM - Last Modified 02/17/21 17:43 PM


Symptom


  • Impossible d’accéder à une URL contenant de la vidéo, lorsque la stratégie de sécurité associée est attachée à l’un des profils de sécurité (filtrage d’URL, AV, anti-spyware, etc.).
  • Vidéo sur l’URL en cours de l’affichage pendant quelques secondes, puis se faire arrêter souvent avec un écran blanc blanc.
  • La vidéo est jouée avec succès sans problème lorsque la stratégie de sécurité associée ne contient aucun profil de sécurité qui y est attaché.
  • Session End Reason s’affiche sous le nom de TCP-RST-from-clientà partir des journaux
  • Captures de paquets révélant l’une des réponses ci-dessous du côté webserver.

Image ajoutée par l'utilisateur

Image ajoutée par l'utilisateur

Environment


  • PAN-OS 8.1 et au-dessus

Cause


  • Chaque fois qu’un trafic de session correspond à une stratégie de sécurité qui a les profils de sécurité attachés à elle, le pare-feu fait l’inspection du contenu.
  • Selon le paramètre sur le pare-feu sous Device->Setup->Content-ID appelé « Autoriser la réponse partielle HTTP », le pare-feu permet à un client d’aller chercher seulement une partie du fichier / réponse. Par défaut, la réponse partielle Autoriser HTTP est activée. La désactivation de cette option provoque la fin de la session TCP par le pare-feu avec un paquet TVD.

Resolution


  1. Avant la modification, consultez la documentation de « Autoriser la réponse partielle HTTP » sous « Paramètresd’identification de contenu».
  2. Activer l’option « Autoriser la réponse partielle HTTP » en suivant ce qui suit ci-dessous.
  3. Accédez aux paramètres >Setup->Content-ID->Content-ID
  4. Cliquez sur l’icône Gear sous paramètres Content-ID
        Image ajoutée par l'utilisateur
  1. Cliquez sur la case à cochée pour l’option « Autoriser la réponse partielle HTTP » et cliquez sur OK.
  2. S’engager Changements

Additional Information


       Note:
  • S’il vous plaît garder à l’esprit qu’il s’agit d’un paramètre global et pourrait affecter tout le trafic passant par le pare-feu.
  • La désactivation de cette option peut avoir un impact sur les services de médias en continu, tels que Netflix, Microsoft Updates et Palo Alto Networks mises à jour de contenu.
  • Avant PAN-OS 8.1, cette option s’appelait Allow HTTP Header Range.  
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POjhCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language