¿Qué es el límite de objetos de nombre de dominio completo ( FQDN ) ?

El límite máximo actual de FQDN objetos es de 2000 para las plataformas más pequeñas y todas las VM- series, 2048 para la PA-3200 serie y 6144 para todas las plataformas grandes.
El FQDN límite de objeto está codificado de forma rígida a IP 10 en versiones anteriores a 7.0. Se establece en 32 en PAN-OS versiones 7.1 y posteriores.

• PAN-OS Cualquier.
• Palo Alto Firewalls.
• FQDN configuración del objeto.

A continuación se muestra un ejemplo de Pre 7.x. fqdntest.pantac.lab tiene 11 direcciones IP asignadas al nombre de dominio

En el firewall uso PAN-OS 7.0 o inferior sólo 10 entradas se consideran como el límite máximo se alcanza. Este límite de entrada es de 32 en PAN-OS 7.1 y superior.

Solución

Si se necesitan más de 32 direcciones, A se puede usar un script que cree una lista de bloques dinámicos. Esta lista de bloqueo se puede utilizar como FQDN objeto.

A el posible script en un linux/mac sería: host fqdntest.pantac.lab | grep ha | awk '{print $4}' >> fqdn_list.txt

El archivo fqdn_list.txt contendrá todas las IP direcciones asociadas a fqdntest.pantac.lab:

Haga que ese archivo esté disponible en un HTTP servidor y configure una lista de bloques dinámicos firewall en:

Vaya a GUI : Objetos > listas de bloques dinámicos: ( Objetos > listas dinámicas externas en PAN-OS 7.1 y superiores)

Utilice ese objeto en directivas de seguridad. Para comprobar qué IP direcciones se utilizan, utilice el siguiente comando:
 

> request system external-list show name fqdntest.pantac.lab   (7.0 or below)
 or
> request system external-list show type ip name fqdntest.pantac.lab  (7.1 and higher)

vsys1/fqdntest.pantac.lab:

IPs:

1.1.1.1
1.1.1.3
1.1.1.2
1.1.1.11
1.1.1.10
1.1.1.9
1.1.1.8
1.1.1.7
1.1.1.6
1.1.1.5
1.1.1.4