Palo Alto:: Alles – eine Regel/Policy erstellen, die wirklich „alles“ erlaubt

Ziel:

Erstelle eine Policy, die jeglichen Traffic zwischen bestimmten IPs erlaubt.

Umsetzung:

Die Einstellung:

  • Application ANY and
  • Service Application Default

Screenshot_2015.08.19_09h25m18s_032_

kann dazu führen, dass Anwendungen, die NICHT auf Standardports kommunizieren, durch diese Regeln an der Kommunikation gehindert werden.

Um sicher zu gehen, dass wirklich ALLES erlaubt ist, sollte man die Policy so einstellen:

  • Application ANY and
  • Service Application ANY

Screenshot_2015.08.19_09h29m36s_033_

Hintergrund:

Application default erlaubt alle Applikation mit Ihren Standardports. Ist diese Option gesetzt, dann ist bspw. SSH mit Port 22 erlaubt. SSH könnte auch auf einen definierten Port laufen bspw 22022. Die Applikation benutzt nicht mehr Ihren Standardport und würde dann gedroppt.