Échec de la validation : le service n’est pas valide. 'tout' ne doit pas être utilisé avec un autre service
5342
Created On 04/29/22 07:49 AM - Last Modified 05/15/23 09:28 AM
Symptom
- Commit/Autocommit échoue avec l’erreur suivante après la mise à niveau vers 9.1.10 et versions ultérieures.
Commit Error:
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid. 'any' should not be used with another service'
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid.
- Dans les règles de sécuritéPolicy, la colonne service n’affiche pas les GUIservices configurés, mais « any » est sélectionné sous la liste déroulante.
- Le CLI affiche « any » avec les services configurés. Un exemple de « any » et « service-http » est présenté ci-dessous.
>set cli config-output-format set
#configure
#show | match "Trust-to-Untrust"
set rulebase security rules Trust-to-Untrust to L3-Untrust
set rulebase security rules Trust-to-Untrust from L3-Trust
.....
set rulebase security rules Trust-to-Untrust action allow
set rulebase security rules Trust-to-Untrust service [ any service-http]
- La suppression du service à l’aide affiche CLI une erreur
admin@Lab80-132-PA-VM# delete rulebase security rules Trust-to-Untrust service service-http
Object doesn't exist
Environment
- Pare-feu Palo Alto
- PAN-OSMise à niveau vers la version 9.1.10 et supérieure.
- Sécurité Policy configurée avec « services » et « any ».
Cause
Changement de comportement au 9.1.10
Resolution
1. Dans le GUI, ajoutez un service spécifique et assurez-vous que « tout » n’est plus affiché. Un exemple est présenté ci-dessous.
GUI: Politiques > > de sécurité (nom de la règle) > Service/URL Catégorie
- Vérifiez la même chose à partir de CLI, le « any » ne sera plus affiché
> configure
# show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service service-http
# exit
3. À partir de GUI, supprimez maintenant le service spécifique et ajoutez-le.
- CLI affiche désormais le service comme « n’importe quel »
#show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service any
- Validez la configuration. La validation réussira si aucune autre règle n’a le même problème.
- Si d’autres règles ont le même problème, effectuez les mêmes étapes pour corriger toutes les règles.
Additional Information
5 Dec 22 (Vijay) - Article mis à jour et publié en externe.