Comment faire pour configurer DNS Proxy sur un Palo Alto Networks pare-feu
Resolution
Vue d’ensemble
Ce document décrit comment activer, configurer et vérifier la fonctionnalité de proxy DNS sur un pare-feu de Palo Alto Networks.
Étapes
Sur l'INTERFACE utilisateur Web:
- Naviguez jusqu'à Network > proxy DNS.
- Cliquez sur ajouter pour ouvrir la boîte de dialogue proxy DNS.
- Sélectionnez les interfaces sur lesquelles le proxy DNS doit être activé. Dans la figure ci-dessous, le proxy DNS est activé sur les interfaces Ethernet 1/2 et 1/3.
- Sélectionnez les serveurs principaux et secondaires où le pare-feu doit transférer les requêtes DNS.
L'exemple montre une configuration où le proxy DNS est activé sur les interfaces Ethernet 1/2 et 1/3. Le serveur DNS principal est configuré avec 10.0.0.246. - Les entrées statiques peuvent être ajoutées au proxy DNS. Entrez le nom de domaine complet et les informations d'adresse associées dans l'onglet entrées statiques.
- Le pare-feu de Palo Alto Networks peut être configuré pour cacher les résultats obtenus à partir des serveurs DNS. Pour plus d'informations sur la configuration de la mise en cache DNS, consultez la rubrique Procédure de configuration de la mise en cache pour le proxy DNS.
Remarque: si une entrée DNS n'est pas trouvée dans le cache, le domaine est mis en correspondance avec la liste des entrées statiques. Si une correspondance se produit, l'adresse correspondante est servie. S'il n'y a pas de correspondance, la requête DNS est transférée vers les serveurs DNS principaux ou secondaires configurés. La source de la requête DNS est l'interface d'infiltration de la requête DNS qui, dans ce cas, serait soit ethernet1/2 ou ethernet1/3. - En configurant les règles sous l'onglet règles de proxy DNS, le pare-feu de Palo Alto Networks peut transférer des domaines sélectifs vers des serveurs DNS différents de ceux configurés primaire et secondaire. L'exemple montre une règle de proxy DNS où TechCrunch.com est transmis à un serveur DNS à 10.0.0.36.
Remarque: le pare-feu de Palo Alto Networks peut également effectuer une recherche proxy DNS inversée. Sur le côté client, configurez les paramètres du serveur DNS sur les clients avec les adresses IP des interfaces où le proxy DNS est activé.
Sur l'interface CLI:
> configurer
# Set réseau DNS-Proxy dnsruletest interface ethernet1/2 activé Oui
# Set réseau DNS-Proxy dnsruletest default 10.0.0.246 primaire
# Set réseau DNS-Proxy dnsruletest static-Entries TSS domaine XYX.com adresse 1.1.1.1
# Set réseau DNS-Proxy dnsruletest Domain-Servers test cacheable pas de nom de domaine 10.0.0.246 primaire yahoo.com
commit #
Vérification
Vérifiez le proxy DNS à l'Aide des commandes suivantes:
> Show DNS-Proxy statistiques tous
Nom: dnsruletest
Interfaces: ethernet1/2 ethernet1/3 ethernet1/4
Compteurs:
Requêtes reçues des hôtes: 12
Réponses renvoyées aux hôtes: 12
Requêtes transmises aux serveurs: 6
Réponses reçues des serveurs: 6
Requêtes en attente: 0
TCP: 0
UDP: 0
--------------------------------------
> Show DNS-proxy cache All
Nom: dnsruletest
Paramètres du cache:
Taille: 1024 entrées
Timeout: 14400 secondes
Domaine IP/nom type de classe hits TTL
------------------------------------------------------------------------------
2.2.2.4.in-addr. arpa b. solveurs. level3.net PTR en 60598 1
Pour plus d'informations sur le débogage, Regardez le dnsproxyd. log:
> queue suivre Oui MP-log dnsproxyd. log
Par défaut, le même trafic de zone est autorisé, toutefois, S'il existe un jeu de règles «Deny All», une règle de sécurité est requise pour autoriser le trafic. Ajoutez une règle de sécurité pour autoriser le trafic DNS.
Remarque: les règles de proxy DNS ne s'appliquent pas au trafic initié à partir de l'interface de gestion du pare-feu. Par exemple: à partir de l'interface de gestion, une tentative de ping quelque chose définie dans le proxy DNS n'utilise pas la règle de proxy DNS, mais plutôt les valeurs DNS du serveur à la place.
Voir aussi
Bloquer les requêtes DNS suspectes avec Proxy DNS activé
propriétaire : sdurga