NW機器

GlobalProtect から特定アプリケーションの通信を除外する

この記事は投稿日から1年以上経過しています。

当記事では、PaloAlto のGlobalProtect を利用している環境において、特定アプリケーションの通信を除外(≒ローカルブレイクアウト)する方法について記載します。

前提(対象アプリケーションとバージョン)

当記事でブレイクアウトの対象とするアプリケーションは、Microsoft Teams, Zoomです。

PaloAlto のバージョンは以下の通りです。

  • PAN-OS
    • v9.0.11
  • GlobalProtect Agent
    • v5.1.4
      ※当記事で用いる設定は、5.x系で無いと正常に動作しない可能性がございます。

構成

設定

※GlobalProtect の基本的な設定は割愛いたします。PaloAlto TechDocs をご参照ください。

[Network > GlobalProtect ゲートウェイ > エージェント > クライアントの設定 > トンネルの分割] を設定変更していきます。

Microsoft Teams 通信のブレイクアウトは、アクセスルートより除外する事で実現します。
除外するIP アドレスはこちらを参照します。

Zoom 通信のブレイクアウトは、アプリケーションのプロセス名を直接指定する事で実現します。
Microsoft Teams 同様、IP アドレスでの制限も可能ではございますが、除外対象が膨大なため、当記事では採用しておりません。
(参照 : Network firewall or proxy server settings for Zoom – Zoom Help Center)

トラフィックの確認

Microsoft Teams, Zoom でそれぞれ通話を行い、その後[Monitor > トラフィック] より、ログを参照します。

Microsoft Teams

Zoom

いずれもPaloAlto 上を通過していない為、ブレイクアウトは成功しております。

最後に

当記事では、Proxy, PAC ファイルをGlobalProtect ユーザが参照していないものとしております。
Proxy, PAC ファイルを参照している環境の場合は、経路が「クライアント端末→Proxy→インターネット」となる為、アクセスルートによる制限は行えません。
従って、Microsoft Teams ブレイクアウト向けPaloAlto の設定は、PAC ファイルにて制御する必要があります。

以下はその例です。実際に除外する値はこちらをご参照ください。

function FindProxyForURL (url, host) {
  if(isInNet (host, "104.107.128.0", "255.255.128.0"))
    return "DIRECT";
  else if (isInNet (host, "13.107.128.0", "255.255.252.0"))
    return "DIRECT";
  else if (isInNet (host, "13.107.136.0", "255.255.252.0"))
    return "DIRECT";
  else if (isInNet (host, "13.107.18.10", "255.255.255.254"))
    return "DIRECT";
  else if (isInNet (host, "13.107.6.152", "255.255.255.254"))
    return "DIRECT";
  else if (isInNet (host, "13.107.64.0", "255.255.192.0"))
    return "DIRECT";
  else if (isInNet (host, "131.253.33.215", "255.255.255.255"))
    return "DIRECT";
  else if (isInNet (host, "132.245.0.0", "255.255.0.0"))
    return "DIRECT";
  else if (isInNet (host, "150.171.32.0", "255.255.252.0"))
    return "DIRECT";
  else if (isInNet (host, "150.171.40.0", "255.255.252.0"))
    return "DIRECT";
  else if (isInNet (host, "191.234.140.0", "255.255.252.0"))
    return "DIRECT";
  else if (isInNet (host, "204.79.197.215", "255.255.255.255."))
    return "DIRECT";
  else if (isInNet (host, "23.103.160.0", "255.255.240.0"))
    return "DIRECT";
  else if (isInNet (host, "40.104.0.0", "255.254.0.0"))
    return "DIRECT";
  else if (isInNet (host, "40.108.128.0", "255.255.128.0"))
    return "DIRECT";
  else if (isInNet (host, "40.96.0.0", "255.248.0.0"))
    return "DIRECT";
  else if (isInNet (host, "52.104.0.0", "255.252.0.0"))
    return "DIRECT";
  else if (isInNet (host, "52.112.0.0", "255.252.0.0"))
    return "DIRECT";
  else if (isInNet (host, "52.96.0.0", "255.252.0.0"))
    return "DIRECT";
  else if (isInNet (host, "52.120.0.0", "255.252.0.0"))
    return "DIRECT";
  else return "PROXY [Proxy サーバのIP アドレス:ポート番号]";
}

以上でPaloAlto のGlobalProtect を利用している環境において、特定アプリケーションの通信を除外(≒ローカルブレイクアウト)する方法の説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

ZabbixヒストリデータをLSCにて収集する方法について前のページ

AWS Transit Gateway で集約したトラフィックをFortiGate で精査する次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. Zabbixヒストリデータのレポート生成について
  3. ログフォワーダー「okurun.jar」について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    FortiGateのコンサーブモードについて

    UTMにはコンサーブモード(節約モード)に切り替わる製品があります…

  2. Windows/Linux

    .bash_historyの出力内容をLSCにて収集する方法

    当記事では、.bash_historyの出力内容をLogStare C…

  3. Windows/Linux

    Windows Server (2016, 2012 R2)にSNMP (v1, v2c) 設定を追…

    当記事では、Windows Server にSNMP の設定を投入する…

  4. Windows/Linux

    rsyslogをホスト名、IPアドレスごとにフォルダー分けする方法

    当記事では、rsyslogで受信したログを送信元ホスト名、IPアドレス…

  5. NW機器

    D-Link製DGS-3000シリーズ及びDGS-3120シリーズにおけるSYSLOG/SNMP設定…

    当記事では、D-Link製DGS-3000シリーズ及びDGS-3120…

  6. Windows/Linux

    Windows Server 2016 (2019,2012) / Windows 10,11にて,…

    当記事では、LogStare Collector にて、Windows…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
PAGE TOP