Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Commit-Fehler: Der Dienst ist ungültig. 'any' sollte ni... - Knowledge Base - Palo Alto Networks

Commit-Fehler: Der Dienst ist ungültig. 'any' sollte nicht mit einem anderen Dienst verwendet werden

5342
Created On 04/29/22 07:49 AM - Last Modified 05/15/23 09:16 AM


Symptom


  • Commit/Autocommit schlägt nach dem Upgrade auf 9.1.10 und höher mit dem folgenden Fehler fehl.
Commit Error:
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid. 'any' should not be used with another service'
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid.
  • In der Spalte "Sicherheitsregeln" werden in der GUISpalte "Dienst" keine konfigurierten Dienste angezeigt, sondern "beliebig" Policy wird unter Dropdown-Auswahl ausgewählt.
Sicherheit Policy
  • Zeigt CLI "beliebig" mit den konfigurierten Diensten an. Ein Beispiel für "any" und "service-http" ist unten dargestellt.
>set cli config-output-format set
#configure
#show | match "Trust-to-Untrust"
set rulebase security rules Trust-to-Untrust to L3-Untrust
set rulebase security rules Trust-to-Untrust from L3-Trust
.....
set rulebase security rules Trust-to-Untrust action allow
set rulebase security rules Trust-to-Untrust service [ any service-http]
  • Löschen des Dienstes mithilfe CLI des Anzeigefehlers
admin@Lab80-132-PA-VM# delete rulebase security rules Trust-to-Untrust service service-http
Object doesn't exist

 


Environment


  • Palo Alto Firewalls
  • PAN-OSFühren Sie ein Upgrade auf 9.1.10 und höher durch.
  • Sicherheit Policy , die mit "services" und "any" konfiguriert ist.


Cause


Verhaltensänderung in 9.1.10
 


Resolution


1. Fügen Sie im Feld GUIeinen bestimmten Dienst hinzu und stellen Sie sicher, dass "any" nicht mehr angezeigt wird. Ein Beispiel sehen Sie unten.
GUI: Richtlinien > Sicherheit > (Regelname) > Service/URL Kategorie
Geänderte Sicherheitsregel policy
  1. Überprüfen Sie dasselbe von , CLIdas "any" wird nicht mehr angezeigt
> configure
# show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service service-http
# exit

3. Entfernen GUISie von nun den spezifischen Dienst und fügen Sie einen beliebigen hinzu.
Aus der Sicherheit entfernter Dienst policy
  1. CLI Zeigt den Dienst jetzt als "Beliebig" an.
#show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service any
  1. Führen Sie einen Commit für die Konfiguration aus. Der Commit ist erfolgreich, wenn keine anderen Regeln das gleiche Problem haben.
  2. Wenn andere Regeln das gleiche Problem haben, führen Sie die gleichen Schritte aus, um alle Regeln zu beheben.


Additional Information


5 Dec 22 (Vijay) - Artikel aktualisiert und extern veröffentlicht.

Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OQMCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language