Problem:
FTP Transport funktioniert nicht sauber, Palo Alto Firewall lässt Pakete „fallen“ . Man sieht ab und zu DENY Pakete in der letzten Policy, die alles zwischen TRUST und UNTRUST sperrt.
Dann funktioniert es mal, irgendwann wieder nicht.
Lösung:
Schuld daran war falsch konfiguriertes DNS. Standardmäßig versucht die PA alles über das Management IF zu verschicken. Das Management Netz hatte auch Zugang zum Internet, jedoch nur halbherzig.
In der Policies wurden FQDN genutzt. Durch die falsche DNS Konfiguration konnte der FQDN Cache nicht immer korrekt gefüllt werden.
ftp.freiepresse.de (Objectname ftp.freiepresse.de):
194.25.232.80 102431 1213
ftp.krakovic.de (Objectname ftp.krakovic.de):
85.13.142.199 1 6651
ftp.waz-mediengruppe.de (Objectname ftp.waz-mediengruppe.de):
Not resolved
sftp.freiepresse.de (Objectname sftp.freiepresse.de):
194.25.232.80 102430 58913
www.krakovic.de (Objectname www.krakovic.de):
85.13.142.199 -1 3048
Da es keinen korrekten Eintrag im Cache gab, konnte die ALLOW Policy mit diesem FQDN nicht greifen und die letzte Regel ließ das Paket fallen.
Nach der Umstellung des DNS Client Dienstes, dass er das TRUST Interface nutzt, haben sich die Probleme gelegt.
