共有オブジェクトがゾーン保護プロファイルの送信元アドレスの除外に追加されると、「ipv4 is invalid」というエラーでコミットが失敗する

共有オブジェクトがゾーン保護プロファイルの送信元アドレスの除外に追加されると、「ipv4 is invalid」というエラーでコミットが失敗する

7439
Created On 03/31/23 01:24 AM - Last Modified 02/02/24 06:02 AM


Symptom


  • Panorama では、GUI: [Network > Zone protection > (Profile name) > Reconnaissance Protection] の [Source Address Exclusion] に [Shared object] が追加されます。
  • Share-unused-objects-with-devices は無効です。
  • 変更をファイアウォールにプッシュする
  • コミットがエラーで失敗する: "network -> profiles -> zone-protection-profile -> ipv4 is invalid"
Validation Error:
network -> profiles -> zone-protection-profile -> ipv4 <test-object-1> is an invalid ipv4/v6 address
network -> profiles -> zone-protection-profile -> ipv4 '<test-object-1>' is invalid. Invalid IPv4 address
network -> profiles -> zone-protection-profile -> ipv4 is invalid
Error: Profile compile error, name Zprotection zone parsing error
Error: Profile compiler : invalid profile name Zprotection
Error: Profile compiler : Global section error
Error: Profile compiler : parsing config error
(Module: device)
Commit failed
 


 

Environment


  • 任意のパノラマ
  • Pan-OSバージョン:8.1.7、9.1.12、10.1.8、10.2.3

Cause


ソフトウェアの問題。

Resolution


  1. この問題は、PAN-OS 9.1.16、10.1.9、および 10.2.4 バージョンの PAN-194175 で修正されています。
  2. 上記のバージョンにアップグレードすると、問題が解決します。
回避策:
  1. Panorama デバイス グループで、[ Policies] > [Security policy] > [Pre rules ] に移動してダミー ポリシーを 1 つ作成し、[source address exclusion ] で設定されているアドレス オブジェクトを追加します
  2. したがって、アドレスオブジェクトは参照/使用済みと見なされ、ファイアウォールへのコミットとプッシュは成功します。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g19qCAA&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language