Session définie à jeter par contrôle de policy sécurité
34371
Created On 02/28/19 19:54 PM - Last Modified 03/07/25 14:23 PM
Symptom
- Le trafic a chuté par firewall le et vous ne voyez pas de baisse ou avertir les compteurs lorsque vous exécutez des compteurs mondiaux pour la source spécifique et la destination
- Vous voyez des pcaps Drop lorsque vous capturez un paquet pour la même source et la même destination
NOTE:
Sur la façon d’exécuter des compteurs mondiaux pour une source et une destination spécifiques, consultez le document ci-dessous
Environment
- PA Firewall Hardware / VM
- Version logicielle : 7.x.x ou 8.x.x
Cause
Changement d’application en raison duquel la policy recherchez appid est refusée
Resolution
- Sur les compteurs Global, vous pourrez voir le compteur " session_discard - Session définie à jeter par contrôle de policy sécurité »
Exemple:
PA-Lab> show counter global filter packet-filter yes delta yes Elapsed time since last sampling: 27.462 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_recv 2 0 info packet pktproc Packets received pkt_sent 1 0 info packet pktproc Packets transmitted session_allocated 1 0 info session resource Sessions allocated session_installed 1 0 info session resource Sessions installed session_discard 1 0 info session resource Session set to discard by security policy >>>>>>>>>>>Session discarded check flow_host_pkt_xmt 26 0 info flow mgmt Packets transmitted to control plane flow_host_vardata_rate_limit_ok 26 0 info flow mgmt Host vardata not sent: rate limit ok
- Pour la source et la destination que vous avez le problème de connectivité, vérifiez toutes les sessions et entrez dans les détails de cette session
Exemple:
PA-Lab> show session all filter source 192.168.168.168 destination 1.1.1.1 PA-lab> show session id 468169 Session 468169 c2s flow: source: 192.168.168.168 [L3-Trusted] dst: 1.1.1.1 proto: 6 sport: 63535 dport: 11067 state: DISCARD type: FLOW src user: fmi\khertzel dst user: unknown s2c flow: source: 1.1.1.1 [L3-Untrusted] dst: 192.168.168.168 proto: 6 sport: 11067 dport: 21643 state: DISCARD type: FLOW src user: unknown dst user: lab\test start time : Thu Feb 28 10:43:59 2019 timeout : 90 sec time to live : 83 sec total byte count(c2s) : 1156 total byte count(s2c) : 126 layer7 packet count(c2s) : 9 layer7 packet count(s2c) : 2 vsys : vsys1 application : mssql-db-base >>>>>>>>>>>>>Note the application that is identified in this session rule : interzone-default service timeout override(index) : False session to be logged at end : False session in session ager : True session updated by HA peer : False address/port translation : source nat-rule : Outbound-PAT(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/1 session QoS rule : N/A (class 4) tracker stage firewall : appid policy lookup deny >>>>>>>>>>>>Note that the appid policy lookup is being denied end-reason : policy-deny
- Note dans la sortie ci-dessus, la policy recherche appid est deing refusé
- Cela indique qu’il y a un changement d’application parce que si la session est
- Pour savoir quel est le changement d’application, créez une ANY ANY sécurité de permis sur policy firewall l’adresse Source et destination IP en question
- Testez la connexion et vérifiez les détails de la session pour la même source et la même destination
Exemple:
PA-Lab> show session all filter source 192.168.168.168 destination 1.1.1.1 PA-Lab > show session id 717928 Session 717928 c2s flow: source: 192.168.168.168 [L3-Trusted] dst: 1.1.1.1 proto: 6 sport: 63759 dport: 11067 state: INIT type: FLOW src user: fmi\khertzel dst user: unknown s2c flow: source: 1.1.1.1 [L3-Untrusted] dst: 192.168.168.168 proto: 6 sport: 11067 dport: 7474 state: INIT type: FLOW src user: unknown dst user: lab\test start time : Thu Feb 28 11:01:15 2019 timeout : 15 sec total byte count(c2s) : 1452 total byte count(s2c) : 4750 layer7 packet count(c2s) : 10 layer7 packet count(s2c) : 9 vsys : vsys1 application : mssql-db-encrypted >>>>>Note the actual application that the should be allowed rule : MSSQL Test service timeout override(index) : False session to be logged at end : True session in session ager : False session updated by HA peer : False address/port translation : source nat-rule : Outbound-PAT(vsys1) layer7 processing : completed URL filtering enabled : True URL category : any session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ethernet1/2 egress interface : ethernet1/1 session QoS rule : N/A (class 4) tracker stage firewall : TCP FIN tracker stage l7proc : ctd decoder bypass end-reason : tcp-fin
- Dans la sortie de session ci-dessus, veuillez noter que l’application est identifiée comme « mssql-db-cryptée » où, comme dans les détails de la session précédente, elle était « mssql-db-base »
- Créer une sécurité policy pour permettre la bonne application qui devrait résoudre le problème de connexion
Additional Information
#session_discard #Session
à jeter par contrôle de policy sécurité