Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Profil de protection de zone bloquant le trafic approuvé - Knowledge Base - Palo Alto Networks

Profil de protection de zone bloquant le trafic approuvé

23676
Created On 04/26/21 15:30 PM - Last Modified 09/03/21 22:50 PM


Symptom


  • Le trafic provenant d’adresses IP spécifiques n’a pas accès à Internet.
  • D’autres adresses IP et utilisateurs utilisant la même policy NAT policy sécurité, le même sous-réseau et la même configuration peuvent accéder à Internet.
  • L’accès est autorisé après un certain temps.
  • L’affichage du compteur global pour le paquet filtré affiche le compteur ci-dessous augmentant :
flow_dos_drop_ip_blocked 2 0 drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules

 

Environment


  • Réseaux Palo Alto firewall

Cause


  • Si vous regardez les messages de détail, il vous montrera que la table de blocs a été déclenchée par « DoS ou d’autres modules », qui est le module de protection de zone.
  • Cela se produit généralement lorsque sur le profil de protection de zone vous configurez « Block- IP " pour la protection de reconnaissance, puis le firewall bloquera cette source pendant une durée IP configurée.

Resolution


 
  1. Option 1 : Supprimer le profil de protection de zone de la zone d’approbation
  2. Option 2 : Ajouter l’exclusion de source à la liste IP d’adresses
  3. Option 3 : Réduisez la minuterie de bloc et augmentez le seuil selon vos besoins.
Snapshot affichant la boîte de dialogue Protection de zone dans PAN-OS
 
  1. Après avoir mis en œuvre l’une des options, effacez la table de blocs dos à CLI l’aide de la commande ci-dessous:
>debug dataplane reset dos block-table
 
  1. Exécutez à nouveau la commande ci-dessous pour confirmer que le IP n’est plus dans la liste de blocage
> debug dataplane show dos block-table


 

Additional Information


  • Notez que la protection de zone est appliquée à l’interface d’entrée. Pour se protéger contre les analyses d’inondation, elle doit être appliquée à la zone non approuvée.
  • Si vous avez appliqué le profil de protection de zone sur la zone de confiance, confirmez si IP l’adresse est sur le bloc-table dos de la CLI
> debug dataplane show dos block-table

entp:0x800000024792c828, bucket:100, entry:0
Key:
vsys_id:1, src_zone:1
ip:10.75.1.11, dst_ip:67.195.228.84
is_ipv6:0, is_src_dst_both:1

Value:
block_until:38557 (Unblock after:106 sec)



 
Other users also viewed:
Updating results
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM1uCAE&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language