Symptôme
Lorsque vous définissez des itinéraires de service pour DNS et NTP sur différentes interfaces, l'itinéraire de service NTP ne fonctionne pas lorsque le serveur NTP et DNS est le même hôte que le serveur DNS/NTP secondaire dans L'exemple suivant;
Par exemple, consultez L'exemple de diagramme et de configuration suivant:
PRI NTP SRV-+
.20 | +----------+
| (zone Trust) | | (zone de non-confiance)
+-+ [Routeur] +-+---------+ (E1/2) + PA-2020 + (E1/1) +------------+ PRI DNS SRV
| .1.2 | | 0,2.20
| (172.16.100.0/24) +----------+ (192.168.100.0/24)
|
|
+----Sec DNS/NTP SRV
.20
(172.16.200.0/24)
Itinéraires de service:
Pour DNS, adresse source définie comme "192.168.100.2/24 (eth1/1, Untrust)"
Pour NTP, adresse source définie comme "172.16.100.2/24 (eth1/2, Trust)"
DNS primaire: 192.168.100.20 (côté zone de non-confiance)
NTP primaire: 172.16.100.20 (côté zone de confiance)
DNS secondaire/NTP: 172.16.200.20 (côté zone de confiance)-même hôte est utilisé pour le service NTP et DNS
Paramètre d'itinéraire de service:
<route></route>
<service></service>
<entry name="ntp"></entry>
<source-address>172.16.100.2/24</source-address>
<entry name="dns"></entry>
<source-address>192.168.100.2/24</source-address>
Comme indiqué ci-dessus, le pare-feu de Palo Alto Networks est configuré pour utiliser eth1/1 (Untrust) pour DNS et eth1/2 (Trust) pour l'accès au NTP. Toutefois, le pare-feu a utilisé eth1/1 (non-Trust) pour le trafic NTP vers 172.16.200.20, et le paquet a pu être supprimé car il n'existe aucune stratégie de sécurité qui permet le trafic NTP à la source de la zone de non-confiance.
> Show NTP
État NTP :
NTP synchronisée au LOCAL
Serveur NTP 172.16.200.020 connecté: false </ Not connected>
Serveur NTP 172.16.100.20 connecté: true
Cause
Sous architecture actuelle, le pare-feu de Palo Alto Networks lance des transactions NTP à partir de la même interface que l'itinéraire de service DNS si NTP et le serveur DNS est le même hôte.
propriétaire : kkondo