Le trafic ne correspond pas correctement aux règles avec plusieurs objets FQDN

Le trafic ne correspond pas correctement aux règles avec plusieurs objets FQDN

6929
Created On 11/23/21 08:53 AM - Last Modified 02/02/24 06:09 AM


Symptom


  • La règle de sécurité comporte au moins deux noms de domaine complets configurés en tant que source/destination dans la même règle.
  • Ces noms de domaine complets sont résolus à la même adresse IP.
  • Par intermittence, le trafic ne correspond pas aux règles correctes.

Environment


  • Pare-feu Palo Alto
  • PAN-OS 10.1 et 10.2
  • FQDNs

Cause


  • En raison d’un problème logiciel, lorsque l’un des noms de domaine complets est résolu ultérieurement vers une adresse IP différente (en raison de l’expiration de la durée de vie), l’adresse IP résolue pour un autre nom de domaine complet est également modifiée.
  • Cela entraînera le trafic avec l’adresse IP d’origine qui heurtera une règle incorrecte.

Resolution


  1. Le problème est résolu sous PAN-157215 dans PANOS 10.2.3, 10.1.7
  2. La mise à niveau vers le code corrigé résoudra le problème
  3. Pour contourner ce problème, créez des règles de sécurité distinctes pour chaque nom de domaine complet individuel qui se résout en mêmes adresses IP.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MPCCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language