Diffusions en réseau (.255) Abandonnées

Diffusions en réseau (.255) Abandonnées

18444
Created On 03/18/19 16:38 PM - Last Modified 03/26/21 18:22 PM


Symptom


firewallL’abandon de la diffusion du réseau se terminant par « 255 ».

Environment


PAN-OS tous les

Cause


Du firewall point de vue, notre trafic n’a rien de spécial à partir de src 192.168.0.11, avec destination IP de l’adresse de diffusion dirigée de l’animateur cible d’après le 192.168.0.255 port 137; et en supposant qu’il corresponde à un policy permis, le paquet doit être transmis. Toutefois, un problème se pose lorsque l’hôte cible est dans le même sous-réseau que le firewall . Cela découle de la façon dont PanOS traite les adresses réseau.

PanOS ne restreint pas l’utilisation des adresses « réseau » et « diffusion » comme adresses hôtes valides (par exemple, dans une plage sous-réseau typique /24, les adresses .0 et .255 ne sont normalement pas autorisées, mais PanOS les autorise et ne les traite pas différemment de tout autre hôte de la gamme). Par conséquent, lorsque le firewall reçoit un paquet destiné à l’adresse de diffusion dirigée, il n’y a pas de cartographie automatique à l’adresse de MAC diffusion. En supposant que le paquet est policy autorisé par , le enverra une demande pour la cible , mais bien sûr aucun hôte firewall ne répondra et le paquet sera ARP- IP supprimé.

Resolution


Il y a 2 options :
  1. Create une règle de drop pour elle. Vous pouvez le configurer pour l’enregistrement d’abord juste pour s’assurer que le trafic et la règle fonctionne correctement. Ensuite, nous pourrions désactiver l’exploitation forestière pour libérer des ressources pour l’exploitation forestière
  2. A ARPl’entrée statique est nécessaire pour cartographier la diffusion dirigée vers IP l’adresse de diffusion MAC prévue.

Comment configurer statique ARP :
ARP- https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Static-on-the-Palo-Alto-Networks- Firewall /ta-p/59758

Ce serait juste pour réduire le traitement ARP et empêcher les attaques de l’homme dans le milieu pour les adresses spécifiées (diffusion).
MACL’interface que vous utilisez est l’interface L3 affectée. Vous ne le feriez que pour les interfaces qui connaissent le problème.


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boLYCAY&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language