Netzwerk-Broadcasts (.255) Fallengelassen
18440
Created On 03/18/19 16:38 PM - Last Modified 03/26/21 18:22 PM
Symptom
Die firewall lässt die Netzwerk-Übertragung mit "255" fallen.
Environment
PAN-OS alle
Cause
Aus der firewall Perspektive ist unser Datenverkehr nichts Besonderes von src 192.168.0.11, mit Demziel der IP gerichteten Broadcast-Adresse dst 192.168.0.255 Port 137; und vorausgesetzt, es entspricht einer policy Genehmigung, sollte das Paket weitergeleitet werden. Ein Problem tritt jedoch auf, wenn sich der Zielhost im selben Subnetz wie der firewall befindet. Dies ergibt sich aus der Art und Weise, wie PanOS Netzwerkadressen behandelt.
PanOS schränkt die Verwendung der Adressen "Netzwerk" und "Broadcast" nicht als gültige Hostadressen ein (z. B. sind in einem typischen /24-Subnetzbereich die .0- und .255-Adressen normalerweise nicht zulässig, aber PanOS lässt diese zu und behandelt sie nicht anders als jeder andere Host im Bereich). Wenn der ein firewall Paket empfängt, das an die Adresse für gerichtete Übertragung bestimmt ist, gibt es daher keine automatische Zuordnung zur MAC Broadcast-Adresse. Vorausgesetzt, das Paket ist von policy zulässig, sendet der firewall eine Anforderung für das Ziel , aber natürlich wird kein Host antworten und das Paket wird ARP- IP gelöscht.
Resolution
Es gibt 2 Optionen:
- Ceine Drop-Regel für sie zu wiederholen. Sie können es zuerst für die Protokollierung einrichten, nur um sicherzustellen, dass der Datenverkehr und die Regel ordnungsgemäß funktionieren. Dann könnten wir die Protokollierung deaktivieren, um Ressourcen für die Protokollierung freizugeben
- A Statische ARP Eingabe ist erforderlich, um die gerichtete Übertragung IP der beabsichtigten Broadcast-Adresse zuzuordnen. MAC
So konfigurieren Sie Static ARP :
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Static- ARP- on-the-Palo-Alto-Networks- Firewall /ta-p/59758
Dies wäre nur, um die Verarbeitung zu reduzieren ARP und Man-in-the-Middle-Angriffe für die angegebenen Adressen auszuschließen (Broadcast).
Die MAC Schnittstelle, die Sie verwenden, ist die Betroffene L3-Schnittstelle. Sie würden dies nur für die Schnittstellen tun, bei denen das Problem auftritt.