Gewusst wie: konfigurieren Sie DNS-Proxy auf einem Palo Alto Networks Firewall

Gewusst wie: konfigurieren Sie DNS-Proxy auf einem Palo Alto Networks Firewall

258336
Created On 09/25/18 17:27 PM - Last Modified 10/11/23 16:04 PM


Resolution


Übersicht

Dieses Dokument beschreibt, wie die DNS-Proxy-Funktion auf einer Palo Alto Networks-Firewall aktiviert, konfiguriert und verifiziert werden kann.

 

Schritte

 

Auf der Web-UI:

  1. Navigieren Sie zu Network > DNS Proxy.
  2. Klicken Sie auf Add, um den DNS-Proxy-Dialog zu erhöhen.
  3. Wählen Sie die Schnittstellen, auf denen DNS-Proxy aktiviert werden soll. In der folgenden Abbildung ist der DNS-Proxy auf den Schnittstellen Ethernet 1/2 und 1/3 aktiviert.
  4. Wählen Sie die primären und sekundären Server, auf denen die Firewall DNS-Abfragen weiterleiten soll.
    Das Beispiel zeigt eine Konfiguration, in der DNS-Proxy auf den Ethernet-1/2 und 1/3-Schnittstellen aktiviert ist. Der primäre DNS-Server ist mit 10.0.0.246 konfiguriert.
    Screenshot 2013-02-07 um 12.22.20 Uhr. png
  5. Statische Einträge können dem DNS-Proxy hinzugefügt werden. Geben Sie die FQDN und die zugehörigen Adressdaten in die Registerkarte statische Einträge ein.
  6. Die Palo Alto Networks Firewall kann so konfiguriert werden, dass die von den DNS-Servern gewonnenen Ergebnisse gespeichert werden. Für Informationen über die Konfiguration von DNS-Caching, lesen Sie, wie Sie Caching für den DNS-Proxy konfigurieren.

    Hinweis: Wenn ein DNS-Eintrag nicht im Cache gefunden wird, dann wird die Domain mit der statischen Eingabeliste verglichen. Wenn ein Match stattfindet, wird die entsprechende Adresse bedient. Wenn es kein Match gibt, wird die DNS-Anfrage an die konfigurierten primären oder SekundÄren DNS-Server weitergeleitet. Die Quelle der DNS-Abfrage ist die Eindringen-Schnittstelle von DNS-Anfrage, die in diesem Fall entweder Ethernet1/2 oder Ethernet1/3 wäre.

  7. Durch die Konfiguration von Regeln unter der Registerkarte DNS Proxy-Regeln kann die Palo Alto Networks Firewall selektive Domains auf DNS-Server über leiten, die sich von den konfigurierten primären und sekundären unterscheiden Das Beispiel zeigt eine DNS-Proxy-Regel, bei der TechCrunch.com an einen DNS-Server unter 10.0.0.36 weitergeleitet wird.
    Screenshot 2013-02-07 um 12.38.37 Uhr. png

Hinweis: die Palo Alto Networks Firewall kann auch Reverse DNS Proxy Lookup ausführen. Auf der Client-Seite konfigurieren Sie die DNS-Server-Einstellungen auf den Clients mit den IP-Adressen der Schnittstellen, an denen DNS-Proxy aktiviert ist.

 

Auf dem CLI:

> konfigurieren

# Set Netzwerk DNS-Proxy dnsruletest Interface Ethernet1/2 aktiviert Ja

# Set Netzwerk DNS-Proxy dnsruletest default Primary 10.0.0.246

# Set Netzwerk DNS-Proxy dnsruletest static-Einträge TSS Domain xyx.com Address 1.1.1.1

# Set Network DNS-Proxy dnsruletest Domain-Server testen cachable keine primäre 10.0.0.246 Domain-Name Yahoo.com

# commit

 

 

Überprüfung

ÜberPrüfen Sie den DNS-Proxy mit den folgenden Befehlen:

> DNS-Proxy-Statistiken anzeigen

 

Name: dnsruletest

SchnittStellen: Ethernet1/2 Ethernet1/3 Ethernet1/4

Zähler:

  Anfragen von Hosts: 12

  Die Reaktionen kehrten an die Gastgeber zurück: 12

  Abfragen an Server: 6

  Antworten von Servern: 6

  Anfragen anhängig: 0

    TCP: 0

    UDP: 0

--------------------------------------

 

> DNS-Proxy-Cache alle anzeigen

 

Name: dnsruletest

Cache-Einstellungen:

  Größe: 1024 Einträge

  Timeout: 14400 Sekunden

                             

Domain IP/Name Typ Klasse TTL Hits

------------------------------------------------------------------------------

2.2.2.4.in-addr. arpa b. Resolvers. lEVEL3.net PTR in 60598 1

 

Weitere Debugging-Informationen finden Sie im dnsproxyd. log:

> Schwanz folgen ja MP-Log dnsproxyd. log

 

Standardmäßig ist der gleiche Zonen Verkehr erlaubt, aber wenn es einen "Denial all"-Regelsatz gibt, dann ist eine Sicherheitsregel erforderlich, um den Verkehr zu ermöglichen.  Fügen Sie eine Sicherheitsregel hinzu, um DNS-Verkehr zu ermöglichen.

 

Hinweis: DNS-Proxy-Regeln gelten nicht für den Verkehr, der von der Management-Schnittstelle der Firewall initiiert wurde.  Zum Beispiel: von der Management-Schnittstelle aus verwendet ein Versuch, etwas zu Ping, das im DNS-Proxy definiert ist, nicht die DNS-Proxy-Regel, sondern die DNS-Werte vom Server.

 

Siehe auch

Kann Management Interface DNS-Proxy-Regeln und statische Einträge über DNS-Proxy-Objekt verwenden?

Blockieren von verdächtigen DNS-Abfragen mit DNS-Proxy aktiviert

 

Besitzer: Sdurga
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFcCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language