Problem
Firewallregeln, die Wildcard-FQDN enthalten, können sporadisch nicht angewandt werden.
Betroffene Produkte und Versionen
- Sophos Firewall 19.0
- Sophos Firewall 19.0.1
- Sophos Firewall 18.5.4
Symptom
- Das Wildcard-FQDN-Objekt enthält die zu erwartenden IP-Adressen
- Die Firewallregel kann auf einen Teil der im Wildcard-FQDN angegebenen IP-Adressen nicht angewandt werden. Dies führt potenziell dazu, dass der Verkehr gedroppt wird.
Ursache
- Der FQDN wird korrekt aufgelöst, aber die IPset-Erstellung schläg fehl, wodurch die Firewallregeln nicht auf entsprechenden Verkehr angewandt wird.
- Das Problem kann für jeden Host-Typ auftreten, der mehrere IP-Adressen enthält, beispielsweise WCFQDN, FQDN und IP-Listen.
Lösung
Einschalten der IP Eviction kann als Workaround dienen. So bald aktiviert, wird das "Neu lernen" der FQDN / Wildcard-FQDN das Problem beheben.
Um die IP Eviction zu aktivieren, gehen Sie wie folgt vor:
- Von der Standardkonsole, prüfen Sie den aktuellen Status mittels des folgenden Befehls: show fqdn-host
- Sofern momentan deaktiviert, setzen Sie folgenden Befehl ab, um die IP Eviction zu aktivieren:
set fqdn-host eviction enable interval <interval>
Der Eintrag <ntervall> kann zwischen 60 und 86400 Sekunden betragen.
Der Fix wird Bestandteil von
- Sophos Firewall 19.0.2
- Sophos Firewall 18.5.5
- Sophos Firewall 19.5.0