Was ist der "Fully Qualified Domain Name " FQDN Objektlimit?

Die aktuelle maximale Obergrenze für FQDN Objekte beträgt 2000 für die kleineren Plattformen und alle VM- Serien, 2048 für die PA-3200 Serie und 6144 für alle großen Plattformen.
Der FQDN IP Objektgrenzwert ist in Pre 7.0-Versionen auf 10 hardcodiert. Es ist auf 32 in PAN-OS 7.1 und höheren Versionen eingestellt.

• PAN-OS jegliche.
• Palo Alto Firewalls.
• FQDN Objektkonfiguration.

Ein Beispiel für Pre 7.x wird unten gezeigt. Fqdntest.pantac.lab verfügt über 11 IP-Adressen, die dem Domänennamen zugewiesen sind

Bei der firewall Verwendung PAN-OS von 7.0 oder niedriger werden nur 10 Einträge als maximale Grenze erreicht. Dieses Eintrittslimit liegt bei 32 in PAN-OS 7.1 und höher.

Problemumgehung

Wenn sie mehr als 32 Adressen benötigen, A kann ein Skript verwendet werden, das eine dynamische Sperrliste erstellt. Diese Blockliste kann als Objekt verwendet FQDN werden.

A Mögliches Skript auf einem Linux/Mac wäre: host fqdntest.pantac.lab | grep hat | awk ''print ''4'' >> fqdn_list.txt

Die fqdn_list.txt-Datei enthält alle Adressen, die IP fqdntest.pantac.lab zugeordnet sind:

Stellen Sie diese Datei auf einem Server zur HTTP Verfügung, und konfigurieren Sie eine dynamische Sperrliste firewall auf:

Gehe zu GUI : Objekte > dynamische Blocklisten: ( Objekte > externe dynamische Listen in PAN-OS 7.1 und höher)

Verwenden Sie dieses Objekt in SicherheitsRichtlinien. Verwenden Sie den folgenden Befehl, um zu überprüfen, welche IP Adressen verwendet werden:
 

> request system external-list show name fqdntest.pantac.lab   (7.0 or below)
 or
> request system external-list show type ip name fqdntest.pantac.lab  (7.1 and higher)

vsys1/fqdntest.pantac.lab:

IPs:

1.1.1.1
1.1.1.3
1.1.1.2
1.1.1.11
1.1.1.10
1.1.1.9
1.1.1.8
1.1.1.7
1.1.1.6
1.1.1.5
1.1.1.4