Les HealthChecks de Route53 sont abandonnés lorsque la fonctionnalité de blocage basé sur la région est activée avec la région source US

Les HealthChecks de Route53 sont abandonnés lorsque la fonctionnalité de blocage basé sur la région est activée avec la région source US

3254
Created On 12/29/22 07:14 AM - Last Modified 04/09/25 13:06 PM


Symptom


« Bloquer les connexions entrantes provenant de pays spécifiques pour les déploiements GlobalProtect, Explicit Proxy et Remote Network »

  • Lorsque nous activons cette option avec la région source américaine, les paquets Route53 HealthCheck d'AWS seront également supprimés par la politique, règle, mesures de sécurité.

Environment


  • Accès Prisma
  • Contrôles de santé Route53

Cause


When we configured a security policy for Region Based Blocking following the document, the rule will be inserted at the top of security policies in the cloud FWs. 
> show running security-policy

"Mobile_User_EMBG_Source_Countries; index: 1" {
        from untrust;
        source 0.0.0.0;
        source-region US;
        to any;
        destination any;
        destination-region none;
        user any;
        source-device any;
        destinataion-device any;
        category any;
        application/service 0:any/any/any/app-default;
        action drop;
        icmp-unreachable: no
        terminal no;
If we configure it with source-region US, Route53 HealthCheck packets from AWS will be also dropped by this rule. 
> show log traffic direction equal backward
Time                App             From                            Src Port          Source
Rule                Action          To                              Dst Port          Destination
Src User        Dst User                        End Reason
Rule_UUid
====================================================================================================
2022/12/26 17:20:02 not-applicable  untrust                         51528             15.177.2.98
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
f4ba1dd3-825f-4450-aca2-f51b2fadb103
2022/12/26 17:19:58 not-applicable  untrust                         27640             15.177.18.96
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
f4ba1dd3-825f-4450-aca2-f51b2fadb103
2022/12/26 17:19:57 not-applicable  untrust                         51528             15.177.2.98
Mobile_User_EMBG_So drop            untrust                         443               208.127.163.207
                                                policy-deny
IPGeoLocation shows that these addresses(15.177.x.x) belong to Amazon Technologies Inc. (ROUTE53_HEALTHCHECKS, Global)

Resolution


Conformément à la conception actuelle, nous ne pouvons pas accepter uniquement les HealthChecks tout en bloquant toutes les autres tentatives d'accès en provenance des États-Unis.
Cette fonctionnalité ne doit être utilisée que pour bloquer le trafic en provenance de certains pays à risque.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFvtCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language