Palo Alto Archive - Seite 23 von 30

Palo Alto: FTP Transport funktioniert nicht, Palo Alto Firewall lässt Pakete „fallen“

Problem: FTP Transport funktioniert nicht sauber, Palo Alto Firewall lässt Pakete „fallen“ . Man sieht ab und zu DENY Pakete in der letzten Policy, die alles zwischen TRUST und UNTRUST sperrt. Dann funktioniert es mal, irgendwann wieder nicht. Lösung: Schuld daran war falsch konfiguriertes DNS. Standardmäßig versucht die PA alles über das Management IF zu verschicken. Das Management Netz hatte auch Zugang zum Internet, jedoch nur halbherzig. In der Policies wurden FQDN genutzt. Durch die falsche DNS Konfiguration konnte der FQDN Cache nicht immer korrekt gefüllt werden. ftp.freiepresse.de (Objectname ftp.freiepresse.de): 194.25.232.80 102431 1213 ftp.krakovic.de (Objectname ftp.krakovic.de): 85.13.142.199 1 6651 ftp.waz-mediengruppe.de (Objectname ftp.waz-mediengruppe.de): Not resolved sftp.freiepresse.de (Objectname sftp.freiepresse.de): 194.25.232.80 102430 58913 www.krakovic.de (Objectname www.krakovic.de): 85.13.142.199 -1 …

Palo Alto Firewall: FQDNs refreshen

Wenn im Policy Regelwerk nicht IPs sondern FQDNs genutzt werden, ist es wichtig zu wissen, wann / wie oft sich der Firewall die aktuelle „Übersetzung“ in IPs „besorgt“/refresht. Dazu muss man die Konsole bemühen. FQDN refresh timer: – Default ist 30 Minuten – Mit diesem Befehl kann man den Timer definieren: > configure # set deviceconfig system fqdn-refresh-time <1800-14399> # request system fqdn refresh admin@PA1(active-primary)# set deviceconfig system … + fqdn-forcerefresh-time Seconds for Periodic Timer to force refresh FQDN object entries + fqdn-refresh-time Seconds for Periodic Timer to refresh expired FQDN object entries Die aktuelle FQDN Übersetzung gibt es unter: – request system fqdn show admin@PA1(active-primary)> request system fqdn show FQDN Table : Last Request time Mon Apr 7 12:57:53 …