Impossible de lire une vidéo sur une URL même si l’URL spécifique est autorisée via Firewall
33675
Created On 02/19/20 19:07 PM - Last Modified 02/17/21 17:43 PM
Symptom
- Impossible d’accéder à une URL contenant de la vidéo, lorsque la stratégie de sécurité associée est attachée à l’un des profils de sécurité (filtrage d’URL, AV, anti-spyware, etc.).
- Vidéo sur l’URL en cours de l’affichage pendant quelques secondes, puis se faire arrêter souvent avec un écran blanc blanc.
- La vidéo est jouée avec succès sans problème lorsque la stratégie de sécurité associée ne contient aucun profil de sécurité qui y est attaché.
- Session End Reason s’affiche sous le nom de TCP-RST-from-clientà partir des journaux
- Captures de paquets révélant l’une des réponses ci-dessous du côté webserver.
Environment
- PAN-OS 8.1 et au-dessus
Cause
- Chaque fois qu’un trafic de session correspond à une stratégie de sécurité qui a les profils de sécurité attachés à elle, le pare-feu fait l’inspection du contenu.
- Selon le paramètre sur le pare-feu sous Device->Setup->Content-ID appelé « Autoriser la réponse partielle HTTP », le pare-feu permet à un client d’aller chercher seulement une partie du fichier / réponse. Par défaut, la réponse partielle Autoriser HTTP est activée. La désactivation de cette option provoque la fin de la session TCP par le pare-feu avec un paquet TVD.
Resolution
- Avant la modification, consultez la documentation de « Autoriser la réponse partielle HTTP » sous « Paramètresd’identification de contenu».
- Activer l’option « Autoriser la réponse partielle HTTP » en suivant ce qui suit ci-dessous.
- Accédez aux paramètres >Setup->Content-ID->Content-ID
- Cliquez sur l’icône Gear sous paramètres Content-ID
- Cliquez sur la case à cochée pour l’option « Autoriser la réponse partielle HTTP » et cliquez sur OK.
- S’engager Changements
Additional Information
Note:
- S’il vous plaît garder à l’esprit qu’il s’agit d’un paramètre global et pourrait affecter tout le trafic passant par le pare-feu.
- La désactivation de cette option peut avoir un impact sur les services de médias en continu, tels que Netflix, Microsoft Updates et Palo Alto Networks mises à jour de contenu.
- Avant PAN-OS 8.1, cette option s’appelait Allow HTTP Header Range.