Was ist der "Fully Qualified Domain Name " FQDN Objektlimit?
Symptom
Die aktuelle maximale Obergrenze für FQDN Objekte beträgt 2000 für die kleineren Plattformen und alle VM- Serien, 2048 für die PA-3200 Serie und 6144 für alle großen Plattformen.
Der FQDN IP Objektgrenzwert ist in Pre 7.0-Versionen auf 10 hardcodiert. Es ist auf 32 in PAN-OS 7.1 und höheren Versionen eingestellt.
Environment
- PAN-OS jegliche.
- Palo Alto Firewalls.
- FQDN Objektkonfiguration.
Resolution
Ein Beispiel für Pre 7.x wird unten gezeigt. Fqdntest.pantac.lab verfügt über 11 IP-Adressen, die dem Domänennamen zugewiesen sind
Bei der firewall Verwendung PAN-OS von 7.0 oder niedriger werden nur 10 Einträge als maximale Grenze erreicht. Dieses Eintrittslimit liegt bei 32 in PAN-OS 7.1 und höher.
Problemumgehung
Wenn sie mehr als 32 Adressen benötigen, A kann ein Skript verwendet werden, das eine dynamische Sperrliste erstellt. Diese Blockliste kann als Objekt verwendet FQDN werden.
A Mögliches Skript auf einem Linux/Mac wäre: host fqdntest.pantac.lab | grep hat | awk ''print ''4'' >> fqdn_list.txt
Die fqdn_list.txt-Datei enthält alle Adressen, die IP fqdntest.pantac.lab zugeordnet sind:
Stellen Sie diese Datei auf einem Server zur HTTP Verfügung, und konfigurieren Sie eine dynamische Sperrliste firewall auf:
Gehe zu GUI : Objekte > dynamische Blocklisten: ( Objekte > externe dynamische Listen in PAN-OS 7.1 und höher)
Verwenden Sie dieses Objekt in SicherheitsRichtlinien. Verwenden Sie den folgenden Befehl, um zu überprüfen, welche IP Adressen verwendet werden:
> request system external-list show name fqdntest.pantac.lab (7.0 or below) or > request system external-list show type ip name fqdntest.pantac.lab (7.1 and higher) vsys1/fqdntest.pantac.lab: IPs: 1.1.1.1 1.1.1.3 1.1.1.2 1.1.1.11 1.1.1.10 1.1.1.9 1.1.1.8 1.1.1.7 1.1.1.6 1.1.1.5 1.1.1.4
Additional Information
Weitere Informationen zur Konfiguration finden Sie unter Externe dynamische Listen.