防火墙开始丢弃之前允许的 UDP 流量,即使防火墙配置或网络中的任意位置没有更改
69415
Created On 01/12/21 16:26 PM - Last Modified 02/22/24 09:32 AM
Symptom
- 可能有像PAN防火墙开始阻止UDP流量(即ESP,DHCP,DNS,NTP)的情况,这是之前允许的。
- 即使防火墙配置或环境中的任意位置没有更改,也可能发生此问题。
Environment
- 所有硬件和虚拟机平台
- 所有 PanOS 版本
Cause
- PAN 防火墙在处理通过流量时创建并使用会话记录。 可以检查以下文章有关防火墙如何处理流量。 https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVHCA0
- 会话可以以各种状态进行。 可以检查下面的文章有关会话状态的说明。
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clk9CAC
- 如果会话处于"丢弃"状态,防火墙接收并击中该会话的任何数据包将始终被丢弃。
- 在某些情况下,会话可能会停留在"丢弃"状态。 方案可能包括但不限于以下情况:示例
方案 1: 在 IPSec 配置更改或系统重新启动后,IPSEC 隧道出现故障
- 在这种情况下,其他 IPSec 对等体可能会在系统重新启动期间继续发送 SEP 数据包。
- 根据策略/配置到位流量由防火墙丢弃,最初创建的会话进入"丢弃"状态。
- 所有以下数据包都命中同一会话,会话保持并停留在"丢弃"状态。
- 新的阶段2永远不会建立起来,因为所有消息都命中同一会话并被丢弃。
示例方案 2: 中继 DHCP 流量突然开始失败 - 在这种情况下,我们在大多数硬件模型中具有
的硬件卸载发挥作用。
- 由于我们的卸载逻辑,与 DHCP 流量相关的现有会话可能会在 DP 上关闭。 请查看以下有关网络处理器如何以及何时更新 DP 上的会话计时器的文章。
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm8cCAC
- 如果允许 DHCP 流量从区域 A 到区域 B,并且会话在响应从区域 B 到区域 A 之前会关闭,则此响应消息将被丢弃,并且会话将处于"丢弃"状态。
- 以下数据包将命中此会话,并将丢弃。
Resolution
为了解决防火墙上的丢弃,可以执行以下几项操作:
- 以下命令可以列出和删除处于"放弃"状态的会话。 这是导入查找每个方向的会话。
> 显示会话所有筛选器源 [IP 地址 2] 目标 [IP 地址 1] 状态
丢弃 > 显示会话所有筛选器状态丢弃 >
清除会话 ID [会话 ID]
- 在会话超时也是情感的情况下,可以增加必要的应用 ID 的会话超时值。 这可以通过更改 WebUI 上的设备选项卡下的 UDP 超时值 > 应用程序 > [关注应用 id] > UDP 超时 (秒)。
- 如果更改会话超时没有帮助,则另一个选项可能是为相反方向定义允许规则。 (参考示例方案 2,允许从区域 B 到区域 A 的规则)因此,返回流量将触发全新的会话,并且不会丢弃。