コミット失敗: サービスが無効です。 「any」は別のサービスでは使用しないでください
5344
Created On 04/29/22 07:49 AM - Last Modified 05/15/23 09:17 AM
Symptom
- 9.1.10 以降にアップグレードすると、コミット/自動コミットが次のエラーで失敗します。
Commit Error:
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid. 'any' should not be used with another service'
vsys-> vsys2 -> rulebase -> security -> rules -> Rulename -> service is invalid.
- の中にGUI、 安全Policyルールでは、サービス列には設定されたサービスは表示されませんが、ドロップダウン選択の下に「任意」が選択されていることが表示されます。
- のCLI設定されたサービスには「any」が表示されます。 「any」と「service-http」の例を以下に示します。
>set cli config-output-format set
#configure
#show | match "Trust-to-Untrust"
set rulebase security rules Trust-to-Untrust to L3-Untrust
set rulebase security rules Trust-to-Untrust from L3-Trust
.....
set rulebase security rules Trust-to-Untrust action allow
set rulebase security rules Trust-to-Untrust service [ any service-http]
- を使用してサービスを削除するCLIエラーを表示します
admin@Lab80-132-PA-VM# delete rulebase security rules Trust-to-Untrust service service-http
Object doesn't exist
Environment
- パロアルトのファイアウォール
- PAN-OS9.1.10 以降にアップグレードします。
- 安全Policy「サービス」と「任意」で構成されます。
Cause
9.1.10 での動作の変更
Resolution
1.GUI 、特定のサービスを追加し、「any」が表示されなくなったことを確認します。 以下に例を示します。
GUI:ポリシー > セキュリティ > (ルール名) > サービス/URLカテゴリー
- から同じことを確認しますCLI、「any」は表示されなくなります
> configure
# show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service service-http
# exit
3. からGUI、次に特定のサービスを削除し、任意のサービスを追加します。
- CLI サービスが「any」として表示されるようになりました
#show | match "Trust-to-Untrust"
|snip|
set rulebase security rules Trust-to-Untrust service any
- 構成をコミットします。 他のルールに同じ問題がない場合、コミットは成功します。
- 他のルールにも同じ問題がある場合は、同じ手順を実行してすべてのルールを修正します。
Additional Information
5 12 月 22 日 (ビジェイ) - 記事が更新され、外部に公開されました。