在 DNS--生存时间过期时的安全策略和设备不能到达 DNS 服务器的 Fqdn 会发生什么问题?

在 DNS--生存时间过期时的安全策略和设备不能到达 DNS 服务器的 Fqdn 会发生什么问题?

34890
Created On 09/25/18 19:43 PM - Last Modified 06/12/23 20:53 PM


Resolution


为了演示处理设备上的 DNS TTL 过期时或当防火墙不能到达 DNS 服务器的 FQDN,请使用下面的示例:

  • 使用的 DNS 服务器: 172.17.132.52
  • 两个假人 Fqdn 供决议:
  • dummy1: box34.plano2003.com 将解析为 172.17.128.34
  • dummy2: pa29.plano2003.com 将解析为 172.17.128.29

这些 Fqdn 添加到配置,然后使用在规则中,一旦配置了承诺,我们看到该设备已保存的 FQDN 决议和分配有关 TTLs:

admin@PA-500-37 > 请求系统 fqdn 展示

FQDN 表: 最后一次请求时间星期二-12-11 16:12:28 2012 年

--------------------------------------------------------------------------------

IP 地址剩余以来 TTL 秒刷新

--------------------------------------------------------------------------------

VSYS: vsys1

box34.plano2003.com (Objectname dummy1):

172.17.128.34 3510 90

pa29.plano2003.com (Objectname dummy2):

172.17.128.29 3510 90

请确认 DNS 服务器仍可访问:

admin@PA-500-37 > 坪主机 172.17.132.52

PING 172.17.132.52 (172.17.132.52) 56(84) 字节的数据。

从 172.17.132.52 的 64 字节: icmp_seq = 1 ttl = 127 时间 = 0.941 女士

强制的 FQDN 刷新,以确认事件的服务器可以访问,Fqdn 正在刷新:

admin@PA-500-37 > 是请求系统 fqdn 刷新力

验证上次刷新时间更新:

admin@PA-500-37 > 请求系统 fqdn 展示

FQDN 表: 最后一次请求时间星期二-12-11 16:12:28 2012 年

--------------------------------------------------------------------------------

IP 地址剩余以来 TTL 秒刷新

--------------------------------------------------------------------------------

VSYS: vsys1

box34.plano2003.com (Objectname dummy1):

172.17.128.34 3510 90

pa29.plano2003.com (Objectname dummy2):

172.17.128.29 3510 90

通过管理界面,使 DNS 服务器无法访问:

admin@PA-500-37 > 坪主机 172.17.132.52

PING 172.17.132.52 (172.17.132.52) 56(84) 字节的数据。

从 172.17.128.37 icmp_seq = 1 目标主机无法到达

TTL 继续倒数,但条目不清除时服务器是遥不可及。

admin@PA-500-37 > 请求系统 fqdn 展示

FQDN 表: 最后一次请求时间星期二-12-11 16:20:03 2012 年

--------------------------------------------------------------------------------

IP 地址剩余以来 TTL 秒刷新

--------------------------------------------------------------------------------

VSYS: vsys1

box34.plano2003.com (Objectname dummy1):

172.17.128.34 3271 329

pa29.plano2003.com (Objectname dummy2):

172.17.128.29 3271 329

让 TTL 过期离开遥不可及,我们看到 TTL 负值,继续倒计时然而却不清除的 DNS 服务器:

admin@PA-500-37 > 请求系统 fqdn 展示

FQDN 表: 最后一次请求时间星期二-12-11 16:52:41 2012 年

--------------------------------------------------------------------------------

IP 地址剩余以来 TTL 秒刷新

--------------------------------------------------------------------------------

VSYS: vsys1

box34.plano2003.com (Objectname dummy1):

172.17.128.34-33 3633

pa29.plano2003.com (Objectname dummy2):

172.17.128.29-33 3633

设备尝试刷新配置 FQDN 刷新计时器在 Fqdn。  默认刷新计时器是 30 分钟。  可以使用以下命令修改,提交更改后需要。

admin@PA-500-37# 设置 deviceconfig 系统 fqdn 刷新时间

<value><1800-14399>秒为周期定时器刷新 expi......</1800-14399></value>

所有者: achitwadgi
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbhCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language