Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Perfil de protección de zona que bloquea el tráfico de confianza - Knowledge Base - Palo Alto Networks

Perfil de protección de zona que bloquea el tráfico de confianza

23670
Created On 04/26/21 15:30 PM - Last Modified 09/03/21 22:50 PM


Symptom


  • El tráfico de IPs específicas no tiene acceso a Internet.
  • Otras direcciones IP y usuarios que utilizan la misma policy NAT policy seguridad, subred y configuración pueden acceder a Internet.
  • El acceso está permitido después de algún tiempo.
  • La visión del contador global para el paquete filtrado muestra el contador abajo que aumenta:
flow_dos_drop_ip_blocked 2 0 drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules

 

Environment


  • Redes de Palo Alto firewall

Cause


  • Si observa los mensajes de detalle, le mostrará que la tabla de bloques se activó mediante "DoS u otros módulos", que es el módulo de protección de zona.
  • Esto suele ocurrir cuando en el perfil de protección de zona se configura "Block- IP " para la protección de reconocimiento, a continuación, el firewall bloqueará ese origen durante un período IP de tiempo configurado.

Resolution


 
  1. Opción 1: Quitar el perfil de protección de zona de la zona de confianza
  2. Opción 2: Agregar la exclusión de origen a la lista de IP direcciones
  3. Opción 3: Reduzca el temporizador de bloques y aumente el umbral según sus requisitos.
Instantánea que muestra el cuadro de diálogo Protección de zona en PAN-OS
 
  1. Después de implementar cualquiera de las opciones, borre la tabla de bloques de dos CLI de usar el siguiente comando:
>debug dataplane reset dos block-table
 
  1. Ejecute el siguiente comando de nuevo para confirmar que el IP ya no está en la lista de bloqueados
> debug dataplane show dos block-table


 

Additional Information


  • Observe que la protección de zona se aplica a la interfaz de ingreso. Para protegerse contra los análisis de inundación, debe aplicarse a la zona que no es de confianza.
  • Si ha aplicado el perfil de protección de zona en la zona de confianza, confirme si la IP dirección está en la tabla de bloques de dos de la CLI
> debug dataplane show dos block-table

entp:0x800000024792c828, bucket:100, entry:0
Key:
vsys_id:1, src_zone:1
ip:10.75.1.11, dst_ip:67.195.228.84
is_ipv6:0, is_src_dst_both:1

Value:
block_until:38557 (Unblock after:106 sec)



 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,265
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1uCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language