問題の状況
異なるインターフェイスで dns と ntp のサービスルートを設定する場合、ntp と dns サーバーが次の例ではセカンダリ dns/ntp サーバーのように同じホストである場合、ntp サービスルートは機能しません。
たとえば、次のサンプルの図と構成を参照してください。
Pri の NTP Srv-+
. 20 | +----------+
|(トラストゾーン) | | (untrust ゾーン)
+-+ [ルーター] +-+---------+ (e1/2) + PA-2020 + (e1/1) +------------+ Pri DNS Srv
| 1. 2 | | .2
| (172.16.100.0/24) +----------+ (192.168.100.0/24)
|
|
+----秒 DNS/NTP Srv
.20
(172.16.200.0/24)
サービスルート:
DNS の場合、発信元アドレスは "192.168.100.2/24 (Eth1/1, untrust)" として設定されています
NTP については、ソースアドレスは "172.16.100.2/24 (Eth1/2、信頼)" として設定
プライマリ DNS: 192.168.100.20 (untrust ゾーン側)
プライマリ NTP: 172.16.100.20 (トラストゾーン側)
セカンダリ dns/ntp: 172.16.200.20 (トラストゾーン側)-同じホストが ntp と DNS サービスに使用されます。
サービスルート設定:
<route></route>
<service></service>
<entry name="ntp"></entry>
<source-address>172.16.100.2/24</source-address>
<entry name="dns"></entry>
<source-address>192.168.100.2/24</source-address>
上記のように、パロアルトネットワークファイアウォールは、NTP アクセスのための DNS と Eth1/2 (信頼) のための Eth1/1 (untrust) を使うように構成されます。しかし、ファイアウォールは、172.16.200.20 に向けて ntp トラフィックの Eth1/1 (untrust) を使用し、untrust ゾーンからソースへの ntp トラフィックを許可するセキュリティポリシーが存在しないので、パケットが削除される可能性があります。
> ntp を表示
NTP 状態:
NTP 同期ローカル
NTP サーバー172.16.200.020 接続: False </ Not connected>
NTP サーバ172.16.100.20 接続: True
原因
ntp と dns サーバーが同じホストである場合、現在のアーキテクチャでは、パロアルトネットワークファイアウォールは、dns サービスルートと同じインターフェイスから ntp トランザクションを開始します。
所有者: kkondo