Cómo configurar el Proxy DNS en un Palo Alto Networks Firewall
Resolution
Resumen
Este documento describe cómo habilitar, configurar y verificar la función de proxy DNS en un cortafuegos de Palo Alto Networks.
Pasos
En la interfaz de usuario Web:
- Desplácese a red > proxy DNS.
- Haga clic en agregar para abrir el diálogo de proxy DNS.
- Seleccione las interfaces en las que se debe habilitar el proxy DNS. En la figura de abajo, el proxy DNS está habilitado en las interfaces Ethernet 1/2 y 1/3.
- Seleccione los servidores primario y secundario en los que el cortafuegos debe reenviar consultas DNS.
En el ejemplo se muestra una configuración en la que el proxy DNS está habilitado en las interfaces Ethernet 1/2 y 1/3. El servidor DNS principal está configurado con 10.0.0.246. - Las entradas estáticas se pueden agregar al proxy DNS. Introduzca el FQDN y la información de dirección asociada en la ficha entradas estáticas.
- El cortafuegos de Palo Alto Networks se puede configurar para almacenar en caché los resultados obtenidos en los servidores DNS. Para obtener información sobre cómo configurar el almacenamiento en caché de DNS, consulte Cómo configurar el almacenamiento en caché para el proxy DNS.
Nota: si no se encuentra una entrada DNS en la caché, el dominio se emparejará con la lista de entradas estáticas. Si se produce una coincidencia, se servirá la dirección correspondiente. Si no hay coincidencia, la solicitud DNS se reenvía a los servidores DNS primarios o secundarios configurados. El origen de la consulta DNS es la interfaz de ingreso de la solicitud DNS que, en este caso, sería ethernet1/2 o ethernet1/3. - Al configurar reglas bajo la ficha Reglas de proxy DNS, el cortafuegos de Palo Alto Networks puede reenviar dominios selectivos a servidores DNS diferentes de los primarios y secundarios configurados. En el ejemplo se muestra una regla de proxy DNS en la que TechCrunch.com se reenvía a un servidor DNS en 10.0.0.36.
Nota: el cortafuegos de Palo Alto Networks también puede realizar búsquedas de proxy DNS inversas. En el lado del cliente, configure la configuración del servidor DNS en los clientes con las direcciones IP de las interfaces donde está habilitado el proxy DNS.
En la CLI:
> configurar
# Set red DNS-proxy dnsruletest interface ethernet1/2 habilitado Yes
# Set red DNS-proxy dnsruletest default 10.0.0.246 primario
# Set red DNS-proxy dnsruletest static-entradas TSS dominio XyX.com Dirección 1.1.1.1
# Set red DNS-proxy dnsruletest dominio-servidores prueba caché no 10.0.0.246 primario nombre de dominio Yahoo.com
commit de #
Verificación de
Compruebe el proxy DNS mediante los siguientes comandos:
> Mostrar las estadísticas de DNS-proxy todo
Nombre: dnsruletest
Interfaces: ethernet1/2 ethernet1/3 ethernet1/4
Contadores:
Consultas recibidas de los anfitriones: 12
Respuestas devueltas a los anfitriones: 12
Consultas remitidas a servidores: 6
Respuestas recibidas de los servidores: 6
Consultas pendientes: 0
TCP: 0
UDP: 0
--------------------------------------
> Mostrar DNS-proxy cache All
Nombre: dnsruletest
Configuración de caché:
Tamaño: 1024 entradas
Timeout: 14400 seconds
Dominio IP/nombre tipo clase TTL Hits
------------------------------------------------------------------------------
2.2.2.4.in-addr. arpa b. resoluciones. level3.net PTR en 60598 1
Para obtener más información sobre la depuración, vea el dnsproxyd. log:
> cola seguir sí MP-log dnsproxyd. log
De forma predeterminada, se permite el mismo tráfico de zona, sin embargo, si hay un conjunto de reglas "denegar todo", se requiere una regla de seguridad para permitir el tráfico. Agregue una regla de seguridad para permitir el tráfico DNS.
Nota: las reglas de proxy DNS no se aplican al tráfico iniciado desde la interfaz de administración del cortafuegos. Por ejemplo: desde la interfaz de administración, un intento de hacer ping a algo definido en el proxy DNS no utiliza la regla de proxy DNS, sino más bien los valores DNS del servidor en su lugar.
Ver también
Bloqueo DNS sospechosas consultas DNS Proxy activado
Propietario: sdurga