Wie man DNS-Proxy überprüft

Wie man DNS-Proxy überprüft

96284
Created On 09/25/18 19:49 PM - Last Modified 11/02/23 14:38 PM


Resolution


Bitte lesen Sie dieses Dokument, wie Sie DNS-Proxy auf einer Palo Alto Networks Firewall konfigurieren, um DNS-Proxy zu konfigurieren.

 

In dem Beispiel ist DNS-Proxy auf Ethernet 1/1 mit IP-Adresse 10.50.240.72, dem DNS-Server für die internen Host-Rechner, aktiviert.

 

KB1. Png

 

 

KB2. Png

 

DNS-Server auf den Host-Rechnern--10.50.240.72.

 

Da der DNS-Traffic des Hosts eine intrazone-Richtlinie annehmen wird, müssen wir Log am Session-Ende in der Standard-intrazone-Richtlinie aktivieren. Oder Sie können eine neue Politik erstellen:

 

C:\Users\Administrator > nslookup
DNS-Anfrage abgelaufen.
Timeout betrug 2 Sekunden.
Standard-Server: Unbekannte
Adresse: 10.50.240.72 Dies ist mein DNS-Server  

 

Die IP-Adresse der Test Maschine beträgt 10.50.240.137

Die Trust-Schnittstelle E1/1 der Firewall ist 10.50.240.72, die die Schnittstelle, auf der DNS-Proxy aktiviert ist, und der DNS-Server für die internen Server.

 

 

Methode 1

 

Jedes Mal, wenn Hosts einen nslookup machen oder Benutzer zu irgendeiner Domain gehen, werden Sie Sessions bemerken, die überprüfen, dass DNS-Proxy gut funktioniert. 

 

Taranf @ chnlab-fw74 > Show-Session alle Filter-Anwendung DNS
-----------------------------------------------------------------------------------------
ID-Anwendung Staatstyp Flag src [Sport]/Zone/Proto (übersetzte IP [Port]) 
Vsys DST [dport]/Zone (überSETZTE IP [Port])
-----------------------------------------------------------------------------------------
95124 DNS-aktiv Fluss 10.50.240.137 [47615]/Untrust-L3/17 (10 .50.240.137 [47615])
vsys1 10.50.240.72[53]/Untrust-L3 (10.50.240.72[53])                                         
                   

Diese Sessions stammen von der internen Host-Maschine, deren IP-Adresse 10.50.240.137 ist, bis zur IP-Adresse der Firewall, 10.50.240.72 (E1/1).

 

Die obige Sitzung zeigt die Firewall, die als ein Mann in der Mitte für die DNS-Abfragen fungiert. Auf der Firewall haben wir den DNS-Server jedoch als 8.8.8.8 konfiguriert, so dass die Firewall nun den DNS-Server im Namen der internen Hosts kontaktiert.

 

 

Methode 2

 

Geben Sie den folgenden Befehl ein:

> DNS-Proxy-Cache alle anzeigen

 

Wenn es Einträge gibt, bedeutet das, dass DNS-Proxy funktioniert.


Wenn Sie den Cache löschen und sicherstellen wollen, dass kein Alter Cache da ist, geben Sie den Befehl ein:

> Clear DNS-Proxy-Cache alle


Machen Sie ein paar nslookups oder öffnen Sie Google.com und Überprüfen Sie den DNS-Cache mit dem Befehl: 

> DNS-Proxy-Cache alle anzeigen


Wenn es zwischengespeicherte Einträge gibt, funktioniert DNS-Proxy gut.

 

 

 

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleyCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language