请参阅本文档,如何在帕洛阿尔托网络防火墙上配置 dns 代理, 以配置 dns 代理服务器.
在该示例中, 在以太网1/1 上启用了 dns 代理, IP 地址10.50.240.72 是内部主机的 dns 服务器。
主机上的 DNS 服务器10.50.240.72。
由于来自主机的 DNS 通信将采取 intrazone 策略, 所以我们需要在默认的 intrazone 策略中启用会话端的日志. 或者, 您可以创建一个新策略:
C: \ 用户 \ 管理员 > nslookup
DNS 请求超时.
超时是2秒。
默认服务器: 未知
地址: 10.50.240.72 这是我的 dns 服务器
测试机的 IP 地址为10.50.240.137
防火墙的信任接口 E1/1 是 10.50.240.72, 它是启用 dns 代理的接口, 也是内部服务器的 dns 服务器。
方法 1
每当主机执行 nslookup 或用户转到任何域时, 您都会注意到会话, 这将验证 DNS 代理是否工作正常。
Taranf@chnlab-fw74> 显示会话所有筛选器应用程序 dns
-----------------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 IP [端口])
Vsys Dst [Dport]/区域 (已翻译的 IP [端口])
-----------------------------------------------------------------------------------------
95124 个 dns 活动流 10.50.240.137 [47615]/不信任-L3/17 (10. 50.240.137 [47615])
vsys1 10.50.240.72[53]/Untrust-L3 (10.50.240.72[53])
这些会话是从其 ip 地址为10.50.240.137 的内部主机, 到防火墙的 ip 地址 10.50.240.72 (E1/1)。
上面的会话显示了在 DNS 查询中充当中间人的防火墙。但是, 在防火墙上, 我们将 DNS 服务器配置为 8.8.8.8, 所以现在防火墙代表内部主机与 dns 服务器联系。
方法 2
请输入以下命令︰
>> 显示 dns 代理缓存所有
如果有条目, 则表示 DNS 代理正在工作。
如果要清除缓存并确保没有旧的缓存, 请输入以下命令:
>> 清除 dns-代理缓存所有
执行一些 nslookups 或打开 google.com 并使用命令检查 DNS 缓存:
>> 显示 dns 代理缓存所有
如果有缓存项, 则 DNS 代理工作正常。