Commit-Fehler: Der Dienst ist ungültig. 'any' sollte nicht mit einem anderen Dienst verwendet werden
5342
Created On 04/29/22 07:49 AM - Last Modified 05/15/23 09:16 AM
Symptom
- Commit/Autocommit schlägt nach dem Upgrade auf 9.1.10 und höher mit dem folgenden Fehler fehl.
Commit Error:
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid. 'any' should not be used with another service'
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid.
- In der Spalte "Sicherheitsregeln" werden in der GUISpalte "Dienst" keine konfigurierten Dienste angezeigt, sondern "beliebig" Policy wird unter Dropdown-Auswahl ausgewählt.
- Zeigt CLI "beliebig" mit den konfigurierten Diensten an. Ein Beispiel für "any" und "service-http" ist unten dargestellt.
>set cli config-output-format set
#configure
#show | match "Trust-to-Untrust"
set rulebase security rules Trust-to-Untrust to L3-Untrust
set rulebase security rules Trust-to-Untrust from L3-Trust
.....
set rulebase security rules Trust-to-Untrust action allow
set rulebase security rules Trust-to-Untrust service [ any service-http]
- Löschen des Dienstes mithilfe CLI des Anzeigefehlers
admin@Lab80-132-PA-VM# delete rulebase security rules Trust-to-Untrust service service-http
Object doesn't exist
Environment
- Palo Alto Firewalls
- PAN-OSFühren Sie ein Upgrade auf 9.1.10 und höher durch.
- Sicherheit Policy , die mit "services" und "any" konfiguriert ist.
Cause
Verhaltensänderung in 9.1.10
Resolution
1. Fügen Sie im Feld GUIeinen bestimmten Dienst hinzu und stellen Sie sicher, dass "any" nicht mehr angezeigt wird. Ein Beispiel sehen Sie unten.
GUI: Richtlinien > Sicherheit > (Regelname) > Service/URL Kategorie
- Überprüfen Sie dasselbe von , CLIdas "any" wird nicht mehr angezeigt
> configure
# show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service service-http
# exit
3. Entfernen GUISie von nun den spezifischen Dienst und fügen Sie einen beliebigen hinzu.
- CLI Zeigt den Dienst jetzt als "Beliebig" an.
#show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service any
- Führen Sie einen Commit für die Konfiguration aus. Der Commit ist erfolgreich, wenn keine anderen Regeln das gleiche Problem haben.
- Wenn andere Regeln das gleiche Problem haben, führen Sie die gleichen Schritte aus, um alle Regeln zu beheben.
Additional Information
5 Dec 22 (Vijay) - Artikel aktualisiert und extern veröffentlicht.