Der Datenverkehr stimmt nicht ordnungsgemäß mit Regeln mit mehreren FQDN-Objekten überein

Der Datenverkehr stimmt nicht ordnungsgemäß mit Regeln mit mehreren FQDN-Objekten überein

6953
Created On 11/23/21 08:53 AM - Last Modified 02/02/24 06:09 AM


Symptom


  • Die Sicherheitsregel verfügt über zwei oder mehr FQDNs, die in derselben Regel als Quelle/Ziel konfiguriert sind.
  • Diese FQDNs werden in dieselbe IP-Adresse aufgelöst.
  • Der Datenverkehr stimmt zeitweise nicht mit den richtigen Regeln überein.

Environment


  • Palo Alto Firewalls
  • PAN-OS 10.1 und 10.2
  • Fqdns

Cause


  • Wenn einer der FQDN später in eine andere IP-Adresse aufgelöst wird (aufgrund abgelaufener TTL), wird aufgrund eines Softwareproblems auch die IP-Adresse geändert, die für einen anderen FQDN aufgelöst wurde.
  • Dies führt dazu, dass der Datenverkehr mit der ursprünglichen IP-Adresse eine falsche Regel trifft.

Resolution


  1. Das Problem wurde unter PAN-157215 in PANOS 10.2.3, 10.1.7 behoben
  2. Ein Upgrade auf den korrigierten Code behebt das Problem
  3. Um dieses Problem zu umgehen, erstellen Sie separate Sicherheitsregeln für jeden einzelnen FQDN, die in dieselben IP-Adressen aufgelöst werden.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MPCCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language