Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Reescritura de DNS en un firewall Palo Alto Networks - Knowledge Base - Palo Alto Networks

Reescritura de DNS en un firewall Palo Alto Networks

78325
Created On 09/25/18 19:50 PM - Last Modified 04/21/20 00:20 AM


Resolution


La reescritura de DNS (DNS) es una capacidad que ofrecen algunos dispositivos NAT para traducir el registro DNS a de una consulta DNS determinada. El cortafuegos de Palo Alto Networks a partir de ahora no admite la función de médico DNS, pero existen algunas soluciones que pueden utilizarse. 

 

Algunos escenarios en los que se aplica el médico DNS.

 

Escenario 1: 

El servidor DNS externo devuelve la IP pública de un servidor de aplicaciones a un cliente que también está sentado detrás del mismo cortafuegos. 

 

Screen Shot 2016-03-30 en 9.04.24 AM. png 

 

Flujo de tráfico en este caso:

  1. En el caso anterior, el servidor DNS 4.2.2.2 responde a la consulta DNS del cliente con la IP pública del servidor Web, por ejemplo 198.51.100.3.
  2. El cliente ahora accede al servidor Web en la IP pública y remite esa solicitud al cortafuegos. 
  3. El cortafuegos intenta hacer la búsqueda de ruta para 198.51.100.3 IP y encuentra una ruta a través de eth1/1 (Untrust Zone) apuntando al ISP y envía el paquete hacia fuera.

 

Un cortafuegos capaz de reescribir DNS traducirá la dirección IP en la respuesta DNS a la dirección IP privada del servidor, ya que tiene una asignación NAT para el mismo, lo que permite al cliente acceder directamente al servidor a través de LAN a enrutamiento/directivas LAN.

 

Soluciones

  1. Configure el cliente para que utilice el Firewall como proxy DNS, y en firewall configure una entrada estática para www.example.com como 10.1.1.3. Para todas las demás búsquedas, el Firewall puede utilizar 4.2.2.2 como servidor DNS. Cómo configurar proxy DNS en un cortafuegos Palo Alto Networks o
  2. Utilice u-Turn NAT, remitiendo así el tráfico del cliente al servidor: Cómo configurar u-Turn NAT

 

Escenario 2:

El servidor DNS interno devuelve la dirección IP privada del servidor de aplicaciones tanto a usuarios internos como externos.

 

Screen Shot 2016-03-30 en 9.04.36 AM. png

El usuario externo no podrá acceder al servidor, ya que obtendrá la dirección IP privada del servidor Web.

  

Solución alternativa

  1. Agregar un servidor DNS secundario (preferiblemente en una zona DMZ) para servir a clientes externos con una dirección IP pública al servidor.
  2. Cambie el registro de un servidor DNS para utilizar la IP pública del servidor Web y, a continuación, utilice la solución NAT de U Turn como en el caso 1 para que el cliente interno pueda acceder al servidor Web.
  3. Algunos servidores DNS, como bind9, pueden servir diferentes registros dependiendo de la IP de origen del solicitante

 

 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,420
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfjCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language