Gewusst wie: konfigurieren Sie DNS-Proxy auf einem Palo Alto Networks Firewall
Resolution
Übersicht
Dieses Dokument beschreibt, wie die DNS-Proxy-Funktion auf einer Palo Alto Networks-Firewall aktiviert, konfiguriert und verifiziert werden kann.
Schritte
Auf der Web-UI:
- Navigieren Sie zu Network > DNS Proxy.
- Klicken Sie auf Add, um den DNS-Proxy-Dialog zu erhöhen.
- Wählen Sie die Schnittstellen, auf denen DNS-Proxy aktiviert werden soll. In der folgenden Abbildung ist der DNS-Proxy auf den Schnittstellen Ethernet 1/2 und 1/3 aktiviert.
- Wählen Sie die primären und sekundären Server, auf denen die Firewall DNS-Abfragen weiterleiten soll.
Das Beispiel zeigt eine Konfiguration, in der DNS-Proxy auf den Ethernet-1/2 und 1/3-Schnittstellen aktiviert ist. Der primäre DNS-Server ist mit 10.0.0.246 konfiguriert. - Statische Einträge können dem DNS-Proxy hinzugefügt werden. Geben Sie die FQDN und die zugehörigen Adressdaten in die Registerkarte statische Einträge ein.
- Die Palo Alto Networks Firewall kann so konfiguriert werden, dass die von den DNS-Servern gewonnenen Ergebnisse gespeichert werden. Für Informationen über die Konfiguration von DNS-Caching, lesen Sie, wie Sie Caching für den DNS-Proxy konfigurieren.
Hinweis: Wenn ein DNS-Eintrag nicht im Cache gefunden wird, dann wird die Domain mit der statischen Eingabeliste verglichen. Wenn ein Match stattfindet, wird die entsprechende Adresse bedient. Wenn es kein Match gibt, wird die DNS-Anfrage an die konfigurierten primären oder SekundÄren DNS-Server weitergeleitet. Die Quelle der DNS-Abfrage ist die Eindringen-Schnittstelle von DNS-Anfrage, die in diesem Fall entweder Ethernet1/2 oder Ethernet1/3 wäre. - Durch die Konfiguration von Regeln unter der Registerkarte DNS Proxy-Regeln kann die Palo Alto Networks Firewall selektive Domains auf DNS-Server über leiten, die sich von den konfigurierten primären und sekundären unterscheiden Das Beispiel zeigt eine DNS-Proxy-Regel, bei der TechCrunch.com an einen DNS-Server unter 10.0.0.36 weitergeleitet wird.
Hinweis: die Palo Alto Networks Firewall kann auch Reverse DNS Proxy Lookup ausführen. Auf der Client-Seite konfigurieren Sie die DNS-Server-Einstellungen auf den Clients mit den IP-Adressen der Schnittstellen, an denen DNS-Proxy aktiviert ist.
Auf dem CLI:
> konfigurieren
# Set Netzwerk DNS-Proxy dnsruletest Interface Ethernet1/2 aktiviert Ja
# Set Netzwerk DNS-Proxy dnsruletest default Primary 10.0.0.246
# Set Netzwerk DNS-Proxy dnsruletest static-Einträge TSS Domain xyx.com Address 1.1.1.1
# Set Network DNS-Proxy dnsruletest Domain-Server testen cachable keine primäre 10.0.0.246 Domain-Name Yahoo.com
# commit
Überprüfung
ÜberPrüfen Sie den DNS-Proxy mit den folgenden Befehlen:
> DNS-Proxy-Statistiken anzeigen
Name: dnsruletest
SchnittStellen: Ethernet1/2 Ethernet1/3 Ethernet1/4
Zähler:
Anfragen von Hosts: 12
Die Reaktionen kehrten an die Gastgeber zurück: 12
Abfragen an Server: 6
Antworten von Servern: 6
Anfragen anhängig: 0
TCP: 0
UDP: 0
--------------------------------------
> DNS-Proxy-Cache alle anzeigen
Name: dnsruletest
Cache-Einstellungen:
Größe: 1024 Einträge
Timeout: 14400 Sekunden
Domain IP/Name Typ Klasse TTL Hits
------------------------------------------------------------------------------
2.2.2.4.in-addr. arpa b. Resolvers. lEVEL3.net PTR in 60598 1
Weitere Debugging-Informationen finden Sie im dnsproxyd. log:
> Schwanz folgen ja MP-Log dnsproxyd. log
Standardmäßig ist der gleiche Zonen Verkehr erlaubt, aber wenn es einen "Denial all"-Regelsatz gibt, dann ist eine Sicherheitsregel erforderlich, um den Verkehr zu ermöglichen. Fügen Sie eine Sicherheitsregel hinzu, um DNS-Verkehr zu ermöglichen.
Hinweis: DNS-Proxy-Regeln gelten nicht für den Verkehr, der von der Management-Schnittstelle der Firewall initiiert wurde. Zum Beispiel: von der Management-Schnittstelle aus verwendet ein Versuch, etwas zu Ping, das im DNS-Proxy definiert ist, nicht die DNS-Proxy-Regel, sondern die DNS-Werte vom Server.
Siehe auch
Kann Management Interface DNS-Proxy-Regeln und statische Einträge über DNS-Proxy-Objekt verwenden?
Blockieren von verdächtigen DNS-Abfragen mit DNS-Proxy aktiviert
Besitzer: Sdurga