ファイアウォールは、ファイアウォール構成やネットワーク内の任意の場所に変更が加えられていなくても、以前に許可された UDP トラフィックをドロップし始めます。

ファイアウォールは、ファイアウォール構成やネットワーク内の任意の場所に変更が加えられていなくても、以前に許可された UDP トラフィックをドロップし始めます。

69367

Created On 01/12/21 16:26 PM - Last Modified 02/22/24 09:32 AM

Symptom

PAN ファイアウォールが UDP トラフィック (ESP、DHCP、DNS、NTP など) をブロックし始めるような状況が発生する可能性があります。
これは、ファイアウォール構成や環境内の任意の場所で変更が行われていない場合でも可能です。

Environment

すべてのハードウェアおよび VM プラットフォーム
すべての PanOS リリース

Cause

PAN ファイアウォールは、通過するトラフィックを処理しながらセッションレコードを作成し、使用します。ファイアウォールがトラフィックを処理する方法については、以下の記事を参照してください。 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVHCA0

セッションはさまざまな状態にできます。セッションの状態の説明に関しては、以下の項目をご確認いただけます。
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clk9CAC

セッションが「破棄」状態の場合、ファイアウォールによって受信され、そのセッションにヒットしたパケットは常に破棄されます。

特定のシナリオでは、セッションが "破棄" 状態で停止する場合があります。シナリオは次の場合もありますが、このシナリオに限定されない場合があります

: シナリオ 1 の例: IPSec 構成の変更またはシステムの再起動後に IPSEC トンネルが失敗する
- このシナリオでは、他の IPSec ピアは、システムの再起動中に SEP パケットを送信し続ける可能性があります。
- ポリシー/設定ごとにトラフィックはファイアウォールによってドロップされ、最初に作成されたセッションは「破棄」状態になります。
- 以降のパケットはすべて同じセッションにヒットし、セッションは残り、「破棄」状態のまま。
- すべてのメッセージが同じセッションにヒットしてドロップされるため、新しいフェーズ 2 は確立されません。

シナリオ 2 の例: 中継された DHCP トラフィックが突然失敗し始める
- このシナリオでは、ハードウェアモデルの大部分で持っているハードウェアオフロードが役割を果たします。
- DHCP トラフィックに関連する既存のセッションは、オフロードロジックのために DP でタイムアウトする可能性があります。ネットワークプロセッサが DP のセッションタイマーを更新する方法とタイミングについては、以下の記事を参照してください。
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8cCAC
- DHCP トラフィックがゾーン A からゾーン B に許可され、ゾーン B からゾーン A への応答がタイムアウトになった場合、この応答メッセージはドロップされ、セッションが「破棄」状態で表示されます。
- 次のパケットはこのセッションにヒットし、ドロップされます。

Resolution

ファイアウォール上のドロップを解決するために、いくつかのアクションを実行できます。

「破棄」状態のセッションは、次のコマンドでリストおよび削除できます。各方向のセッションを検索するインポートです。

>表示セッションすべてのフィルタソース [IP アドレス 1] 宛先 [IP アドレス 2] 状態破棄
>表示セッションすべてのフィルタソース [IP アドレス 2] 宛先 [IP アドレス 1] 状態破棄
>表示セッション全てのフィルタ状態破棄
>クリアセッション ID [セッション ID]

セッションタイムアウトも影響を与えるシナリオでは、必要な app-id に対してセッションタイムアウト値を増やすことができます。これは、WebUI 上の [アプリケーションを対象としているアプリケーション] > [アプリケーション]> UDP タイムアウト (秒) をデバイスタブ> UDP タイムアウト値を変更することで行うことができます。

セッションタイムアウトの変更が役に立たない場合は、別のオプションとして、逆方向の許可ルールを定義する可能性があります。 (例のシナリオ 2 を参照して、ゾーン B からゾーン A への許可ルール)したがって、リターントラフィックは新しいセッションをトリガーし、ドロップされません。

Additional Information

以下の記事は、セッション処理ロジックとセッション状態「破棄」の影響


https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000boESCAY https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLK0CAO https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVECA0
に関しても確認できます。

ファイアウォールは、ファイアウォール構成やネットワーク内の任意の場所に変更が加えられていなくても、以前に許可された UDP トラフィックをドロップし始めます。

Symptom

Environment

Cause

Resolution

Additional Information

Other users also viewed: