DNS-Neufassung auf einer Palo Alto Networks Firewall

DNS-Neufassung auf einer Palo Alto Networks Firewall

66029
Created On 09/25/18 19:50 PM - Last Modified 04/21/20 00:20 AM


Resolution


DNS-Umschreibung (DNS-doctoring) ist eine Fähigkeit, die einige NAT-Geräte anbieten, um den DNS-a-Datensatz für eine bestimmte DNS-Abfrage zu übersetzen. Die Palo Alto Networks Firewall unterstützt ab sofort nicht mehr die DNS-Doktorarbeit-Funktion, aber es gibt ein paar Workarounds, die verwendet werden können. 

 

Einige Szenarien, in denen DNS-Doktorarbeit gilt.

 

Szenario 1: 

Externer DNS-Server gibt die öffentliche IP eines Applikationsservers an einen Client zurück, der ebenfalls hinter derselben Firewall sitzt. 

 

Screenshot 2016-03-30 um 9.04.24 Uhr. png 

 

VerkehrsFluss in diesem Fall:

  1. Im obigen Fall antwortet DNS-Server 4.2.2.2 auf die DNS-Abfrage des Clients mit der öffentlichen IP des Webservers, zum Beispiel 198.51.100.3.
  2. Der Client greift nun auf den Webserver auf der öffentlichen IP zu und leitet diese Anfrage an die Firewall weiter. 
  3. Die Firewall versucht, Routensuche für 198.51.100.3 IP zu machen und findet eine Route über eth1/1 (Untrust Zone), die auf den ISP hinweist und das Paket aussendet.

 

EINE Firewall, die in der Lage ist, DNS umzuschreiben, übersetzt die IP-Adresse in der DNS-Antwort auf die private IP-Adresse des Servers, da Sie NAT-Mapping für das gleiche hat, was dem Client ermöglicht, direkt auf den Server über LAN zu LAN-Routing/-Richtlinien zuzugreifen.

 

Problemumgehungen

  1. Konfigurieren Sie den Client, um die Firewall als DNS-Proxy zu verwenden, und konfigurieren Sie auf Firewall einen statischen Eintrag für www.example.com als 10.1.1.3. Für alle anderen Lookups kann die Firewall 4.2.2.2 als DNS-Server verwenden. Wie man DNS-Proxy auf einer Palo Alto Networks Firewall konfiguriert oder
  2. Verwenden Sie U-Turn NAT und leiten Sie damit den Traffic vom Client auf den Server weiter: wie Sie U-Turn NAT konfigurieren

 

Szenario 2:

Interner DNS-Server gibt die private IP-Adresse des Applikationsservers an interne und externe Benutzer zurück.

 

Screenshot 2016-03-30 um 9.04.36 Uhr. png

Der externe Benutzer wird nicht in der Lage sein, auf den Server zuzugreifen, da er die private IP-Adresse des Webservers erhält.

  

Dieses Problem zu umgehen

  1. Fügen Sie einen sekundären DNS-Server (vorzugsweise in einer DMZ-Zone) hinzu, um externe Clients mit einer öffentlichen IP-Adresse an den Server zu bedienen.
  2. Ändern Sie die Aufzeichnung des DNS-Servers, um die öffentliche IP des Webservers zu verwenden, und verwenden Sie dann die U-Turn-NAT-Lösung wie im Fall 1, damit der interne Client auf den Webserver zugreifen kann.
  3. Einige DNS-Server, wie bind9, können verschiedene Datensätze bedienen, abhängig von der Quelle-IP des Antragsteller

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfjCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language