概述
本文档介绍如何在帕洛阿尔托网络防火墙上启用、配置和验证 DNS 代理功能。
步骤
在 Web 用户界面上:
- 导航到网络 > DNS 代理服务器.
- 单击 "添加"以弹出 DNS 代理对话框.
- 选择应启用 DNS 代理的接口。在下图中, 在以太网1/2 和1/3 接口上启用了 DNS 代理。
- 选择防火墙应将 DNS 查询转发到的主服务器和辅机。
该示例显示了在以太网1/2 和1/3 接口上启用 DNS 代理的配置. 主 DNS 服务器配置为10.0.0.246。

- 可以将静态项添加到 DNS 代理中。在 "静态项" 选项卡中输入 FQDN 和关联的地址信息。
- 帕洛阿尔托网络防火墙可以配置为缓存从 DNS 服务器获得的结果。有关配置 dns 缓存的信息, 请参阅如何为 dns 代理服务器配置缓存.
注意:如果在缓存中找不到 DNS 条目, 则域将与静态项列表匹配. 如果发生匹配, 则提供相应的地址。如果没有匹配项, 则将 dns 请求转发到已配置的主 dns 服务器或辅助域名。dns 查询的来源是 dns 请求的入口接口, 在这种情况下, 它要么是 ethernet1/2, 要么是 ethernet1/3。
- 通过在 "DNS 代理规则" 选项卡下配置规则, 帕洛阿尔托网络防火墙可以将选择性域转发给不同于配置的主要和次要的 DNS 服务器。该示例显示了一个 dns 代理规则, 其中 techcrunch.com 被转发到10.0.0.36 中的 dns 服务器。

注意:帕洛阿尔托网络防火墙也可以执行反向 DNS 代理查找. 在客户端上, 使用启用 dns 代理的接口的 IP 地址配置客户端上的 dns 服务器设置。
在 CLI 上:
> 配置
# 设置网络 dns-代理 dnsruletest 接口 ethernet1/2 启用是
# 设置网络 dns-代理 dnsruletest 默认主10.0.0.246
# 设置网络 dns-代理 dnsruletest 静态条目 tss 域 xyx.com 地址1.1.1。1
# 设置网络 dns 代理服务器 dnsruletest 域服务器测试缓存无主10.0.0.246 域名 yahoo.com
# 提交
验证
使用以下命令验证 DNS 代理:
>> 显示 dns 代理统计信息全部
姓名: dnsruletest
接口: ethernet1/2 ethernet1/3 ethernet1/4
计数器:
从 hosts:12 收到的查询
返回到 hosts:12 的响应
转发到 servers:6 的查询
从 servers:6 收到的答复
查询 pending:0
TCP:0
UDP:0
--------------------------------------
>> 显示 dns 代理缓存所有
姓名: dnsruletest
缓存设置:
Size:1024 条目
Timeout:14400 秒
域 IP/名称类型类 TTL 命中
------------------------------------------------------------------------------
2.2. 2.4. 在地址.evel3.net PTR 在 60598 1
有关更多调试信息, 请查看 dnsproxyd.log:
>> 尾随是 mp-日志 dnsproxyd.log
默认情况下, 允许使用相同的区域通信, 但是, 如果存在 "拒绝所有" 规则集, 则需要安全规则才能允许通信。 添加安全规则以允许 DNS 通信。
注意: DNS 代理规则不适用于从防火墙的管理界面启动的通信. 例如: 从管理界面中, 尝试 ping 在 dns 代理中定义的某些内容并不使用 dns 代理规则, 而是从服务器改为 dns 值。
请参见
管理界面是否可以通过 dns 代理对象使用 dns 代理规则和静态项?
阻止可疑的 DNS 查询与 DNS 代理已启用
所有者︰ sdurga