ハウツー解説-DNS プロキシを確認する

dns プロキシを構成するには、このドキュメントの「パロアルトネットワークファイアウォールで dns プロキシを構成する方法」を参照してください。

この例では、内部ホストマシンの dns サーバーである IP アドレス10.50.240.72 を使用して、イーサネット1/1 で dns プロキシが有効になっています。

ホストマシン上の DNS サーバー--10.50.240.72.

ホストからの DNS トラフィックは intrazone ポリシーを取るため、デフォルトの intrazone ポリシーではセッション終了時にログを有効にする必要があります。または、新しいポリシーを作成することもできます。

C:\Users\Administrator > nslookup
DNS 要求がタイムアウトしました。
タイムアウトは2秒でした。
既定のサーバー: 不明
なアドレス: 10.50.240.72 これは私の dns サーバーです。  

テストマシンの IP アドレスは10.50.240.137

ファイアウォールの信頼インターフェイス E1/1 は、dns プロキシが有効になっているインターフェイスである10.50.240.72、および内部サーバーの dns サーバーです。

方法 1

ホストが nslookup を行うか、またはユーザーが任意のドメインに移動するたびに、DNS プロキシが正常に動作していることを確認するセッションが通知されます。 

Taranf @ chnlab-fw74 > セッションを表示すべてのフィルタアプリケーションの dns
-----------------------------------------------------------------------------------------
ID アプリケーションの状態の種類フラグ Src [スポーツ]/Zone/Proto (翻訳 IP [ポート])
Vsys Dst [Dport]/Zone (翻訳 IP [ポート])
-----------------------------------------------------------------------------------------
95124 dns アクティブフロー 10.50.240.137 [47615]/Untrust-L3/17 (1050.240.137 [47615])
vsys1 10.50.240.72[53]/Untrust-L3 (10.50.240.72[53])                                         
                   

これらのセッションは、ip アドレスが10.50.240.137 の内部ホストマシンから、ファイアウォールの ip アドレス、10.50.240.72 (E1/1) です。

上記のセッションでは、DNS クエリのための中間の男として動作しているファイアウォールを示しています。ただし、ファイアウォールでは、dns サーバーを8.8.8.8 として構成しているため、ファイアウォールは内部ホストに代わって dns サーバーに接続しています。

方法 2

以下のコマンドを入力します。

> dns の表示-プロキシキャッシュのすべて 

エントリがある場合は、DNS プロキシが動作していることを意味します。

キャッシュをクリアして、古いキャッシュが存在しないことを確認するには、次のコマンドを入力します。

> dns のクリア-プロキシキャッシュのすべて 

いくつかの nslookups またはオープン google.com を行うと、コマンドを使用して DNS キャッシュを確認してください:

> dns の表示-プロキシキャッシュのすべて 

キャッシュされたエントリがある場合、DNS プロキシは正常に動作しています。