如何验证 DNS 代理服务器

如何验证 DNS 代理服务器

96278
Created On 09/25/18 19:49 PM - Last Modified 11/02/23 14:38 PM


Resolution


请参阅本文档,如何在帕洛阿尔托网络防火墙上配置 dns 代理, 以配置 dns 代理服务器.

 

在该示例中, 在以太网1/1 上启用了 dns 代理, IP 地址10.50.240.72 是内部主机的 dns 服务器。

 

KB1。Png

 

 

KB2。Png

 

主机上的 DNS 服务器10.50.240.72。

 

由于来自主机的 DNS 通信将采取 intrazone 策略, 所以我们需要在默认的 intrazone 策略中启用会话端的日志. 或者, 您可以创建一个新策略:

 

C: \ 用户 \ 管理员 > nslookup
DNS 请求超时.
超时是2秒。
默认服务器: 未知
地址: 10.50.240.72 这是我的 dns 服务器
 

 

测试机的 IP 地址为10.50.240.137

防火墙的信任接口 E1/1 是 10.50.240.72, 它是启用 dns 代理的接口, 也是内部服务器的 dns 服务器。

 

 

方法 1

 

每当主机执行 nslookup 或用户转到任何域时, 您都会注意到会话, 这将验证 DNS 代理是否工作正常。 

 

Taranf@chnlab-fw74> 显示会话所有筛选器应用程序 dns
-----------------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 IP [端口])
Vsys Dst [Dport]/区域 (已翻译的 IP [端口])
-----------------------------------------------------------------------------------------
95124 个 dns 活动流 10.50.240.137 [47615]/不信任-L3/17 (10. 50.240.137 [47615])
vsys1 10.50.240.72[53]/Untrust-L3 (10.50.240.72[53])                            
                   

这些会话是从其 ip 地址为10.50.240.137 的内部主机, 到防火墙的 ip 地址 10.50.240.72 (E1/1)。

 

上面的会话显示了在 DNS 查询中充当中间人的防火墙。但是, 在防火墙上, 我们将 DNS 服务器配置为 8.8.8.8, 所以现在防火墙代表内部主机与 dns 服务器联系。

 

 

方法 2

 

请输入以下命令︰

>> 显示 dns 代理缓存所有 

 

如果有条目, 则表示 DNS 代理正在工作。


如果要清除缓存并确保没有旧的缓存, 请输入以下命令:

>> 清除 dns-代理缓存所有 


执行一些 nslookups 或打开 google.com 并使用命令检查 DNS 缓存:

>> 显示 dns 代理缓存所有 


如果有缓存项, 则 DNS 代理工作正常。

 

 

 

 

 

 

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleyCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language