ゾーン保護プロファイルで信頼されたトラフィックがブロックされる

• 特定の IP からのトラフィックは、インターネットにアクセスできません。
• 同じセキュリティ、サブネット、および構成を使用する他の IP およびユーザー policy NAT policy は、インターネットにアクセスできます。
• アクセスは、ある程度の時間が経過した後に許可されます。
• フィルタされたパケットのグローバル カウンタを表示すると、以下のカウンタが増加しています。

admin@PA-VM> show counter global filter packet-filter yes delta yes  => Note packet filter must be configured to match the traffic.
.......
flow_dos_drop_ip_blocked      2 0 drop flow dos Packets dropped: Flagged for blocking and under block duration by DoS or other modules
.......

• パロ ・ アルトのネットワーク firewall
• PAN-OS 8.1以上。

• メッセージの詳細 "ブロック テーブルは DoS または他のモジュールによってトリガされました" はゾーン保護モジュールであることを示します。
• 通常、ゾーン保護プロファイルで偵察保護用に "Block-" を構成した場合 IP (以下に示す)、この状態 firewall が設定された期間、そのソースをブロックします IP 。

1.  オプション 1: ゾーン保護プロファイルを信頼ゾーンから削除する

2.  オプション 2: アドレスの一覧にソースの除外を追加 IP する

3. オプション3:あなたの要件に応じて、ブロックタイマーを減らし、しきい値を増やします。  
4. いずれかのオプションを実装した後、以下のコマンドを使用して dos ブロックテーブル CLI をクリアします。

> debug dataplane reset dos block-table

5. 次のコマンドをもう一度実行して、 IP ブロック リストにないことを確認します。

> debug dataplane show dos block-table

• ゾーンの保護に関する推奨事項
• 偵察保護の構成
• ゾーン保護は入力インターフェイスに適用されることに注意してください。 フラッド スキャンから保護するには、信頼されていないゾーンに適用する必要があります。
• ゾーン保護プロファイルを信頼ゾーンに適用している場合 IP は、アドレスが dos ブロックテーブル上にあるかどうかを確認します。 CLI

> debug dataplane show dos block-table

entp:0x800000024792c828, bucket:100, entry:0
Key:
vsys_id:1, src_zone:1
ip:10.75.1.11, dst_ip:67.195.228.84
is_ipv6:0, is_src_dst_both:1

Value:
block_until:38557 (Unblock after:106 sec)