Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Échec de la validation : le service n’est pas valide. 'tout... - Knowledge Base - Palo Alto Networks

Échec de la validation : le service n’est pas valide. 'tout' ne doit pas être utilisé avec un autre service

5342
Created On 04/29/22 07:49 AM - Last Modified 05/15/23 09:28 AM


Symptom


  • Commit/Autocommit échoue avec l’erreur suivante après la mise à niveau vers 9.1.10 et versions ultérieures.
Commit Error:
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid. 'any' should not be used with another service'
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid.
  • Dans les règles de sécuritéPolicy, la colonne service n’affiche pas les GUIservices configurés, mais « any » est sélectionné sous la liste déroulante.
Sécurité Policy
  • Le CLI affiche « any » avec les services configurés. Un exemple de « any » et « service-http » est présenté ci-dessous.
>set cli config-output-format set
#configure
#show | match "Trust-to-Untrust"
set rulebase security rules Trust-to-Untrust to L3-Untrust
set rulebase security rules Trust-to-Untrust from L3-Trust
.....
set rulebase security rules Trust-to-Untrust action allow
set rulebase security rules Trust-to-Untrust service [ any service-http]
  • La suppression du service à l’aide affiche CLI une erreur
admin@Lab80-132-PA-VM# delete rulebase security rules Trust-to-Untrust service service-http
Object doesn't exist

 


Environment


  • Pare-feu Palo Alto
  • PAN-OSMise à niveau vers la version 9.1.10 et supérieure.
  • Sécurité Policy configurée avec « services » et « any ».


Cause


Changement de comportement au 9.1.10
 


Resolution


1. Dans le GUI, ajoutez un service spécifique et assurez-vous que « tout » n’est plus affiché. Un exemple est présenté ci-dessous.
GUI: Politiques > > de sécurité (nom de la règle) > Service/URL Catégorie
Règle de sécurité policy modifiée
  1. Vérifiez la même chose à partir de CLI, le « any » ne sera plus affiché
> configure
# show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service service-http
# exit

3. À partir de GUI, supprimez maintenant le service spécifique et ajoutez-le.
Service retiré de la sécurité policy
  1. CLI affiche désormais le service comme « n’importe quel »
#show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service any
  1. Validez la configuration. La validation réussira si aucune autre règle n’a le même problème.
  2. Si d’autres règles ont le même problème, effectuez les mêmes étapes pour corriger toutes les règles.


Additional Information


5 Dec 22 (Vijay) - Article mis à jour et publié en externe.

Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OQMCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language