ネットワーク ブロードキャスト (.255) が廃棄される
23634
Created On 03/18/19 16:38 PM - Last Modified 03/26/21 18:22 PM
Symptom
firewall 「255」で終わるネットワークブロードキャストをドロップしています。
Environment
PAN-OS すべての
Cause
観点から firewall 見ると、トラフィックは src 192.168.0.11 から特別なものではなく、 IP ターゲット ホストのダイレクト ブロードキャスト アドレス dst 192.168.0.255 ポート 137 の宛先で、パケットが policy 転送される必要があります。 ただし、ターゲット ホストが と同じサブネットにある場合に問題が発生します firewall 。 これは、PanOS がネットワーク アドレスを処理する方法に由来します。
PanOS は、有効なホスト アドレスとして "ネットワーク" アドレスと "ブロードキャスト" アドレスの使用を制限しません (たとえば、一般的な /24 サブネット範囲では、通常はアドレスが許可されませんが、PanOS では、これらのアドレスは許可されず、範囲内の他のホストと同様に扱われます)。 したがって、 firewall 送信ブロードキャスト アドレス宛てのパケットを受信する場合、ブロードキャスト アドレスへの自動マッピングは行われません MAC 。 パケットが によって許可されると仮定すると policy 、 firewall は ARP- ターゲットに対する要求を送信 IP しますが、もちろんホストは応答しません。
Resolution
2つのオプションがあります。
- Cそれのためのドロップルールを再設定します。 トラフィックとルールが正しく動作していることを確認するために、最初にログ記録用に設定できます。 その後、ログ記録用のリソースを解放するためにログを無効にできます
- A 静的 ARP エントリは、対象のブロードキャスト アドレスにダイレクト ブロードキャストをマップするために必要です IP MAC 。
Static ARP :
ARP- https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Static-on-the-パロアルトネットワークス - Firewall /ta-p/59758
これは、処理を減らし ARP 、指定されたアドレス(ブロードキャスト)に対する中間者攻撃を排除するためです。
MAC使用するインターフェイスは、影響を受ける L3 インターフェイスです。 この操作は、問題が発生しているインターフェイスに対してのみ行います。