DNS proxy es un rol en el que firewall el es un intermediario entre clientes y servidores; actúa como un servidor mismo mediante la resolución de consultas desde su caché de DNS DNS DNS proxy. Si el nombre de dominio no se encuentra en la DNS caché de proxy, firewall las búsquedas de una coincidencia con el nombre de dominio entre las entradas del objeto proxy específico DNS (en la interfaz en la que llegó la DNS consulta) y reenvían la consulta a un DNS servidor en función de los resultados de coincidencia. Si no se encuentra ninguna coincidencia, se utilizan los DNS servidores predeterminados.
1. Identifique lo que es la interfaz del túnel mencionada en la configuración del GlobalProtect gateway. Red > global Protect > pasarelas:
2. Navegue a las interfaces de > de red > túnel y agregue la dirección a la interfaz del túnel identificada del paso IP anterior:
Nota: Esta IP dirección podría ser cualquier dirección IP aleatoria. Además, asegúrese de que hay una regla de enrutamiento y seguridad adecuada para permitir la comunicación entre esta IP dirección y el DNS servidor.
3. Vaya a Network > Global Protect > Gateways>Agent> Network Services. Configure esta IP dirección como servidor principal para los clientes de global DNS IP protect:
4. Navegue a la red > Global Protect > Gateways >Agent> Configuracióncliente>saver túnel>Incluir ruta de acceso. Configure esta IP dirección en la tabla de rutas de acceso para que los clientes de la protección global consiga la ruta para esto IP a través del túnel:
5. Vaya a Proxy de > de DNS red. Configure la interfaz del túnel para actuar como DNS proxy. Configure los servidores primarios y DNS secundarios que se utilizarán. DNS las reglas de proxy se pueden configurar para enviar una DNS consulta al servidor interno para DNS dominios internos. Si el dominio no coincide, DNS se usarían servidores predeterminados.
Nota: Si una DNS consulta viene a la interfaz del túnel firewall para, digamos, paloalto.panvmlab.com, el firewall enviará la petición al DNS 192.168.243.221. Sin embargo, si llega una DNS solicitud, supongamos, google.com, ya que el nombre de dominio no coincide con el nombre en la regla de proxy, firewall envía la solicitud a los servidores DNS predeterminados 8.8.8.8 o 4.2.2.2.
Del mismo modo, las entradas estáticas se pueden crear en el firewall modo que las solicitudes para que DNS FQDN respondan con una dirección estática IP configurada:
6- Configurar la seguridad policy y las reglas según sea necesario para la comunicación con servidores internos o NAT DNS externos. La fuente IP de DNS las peticiones sería la dirección de la interfaz del IP túnel:
La interfaz del túnel es la zona Trust-Wifi, el servidor interno DNS en la zona de confianza y el servidor externo en la zona de DNS untrust.