Reescritura de DNS en un firewall Palo Alto Networks

Reescritura de DNS en un firewall Palo Alto Networks

66021
Created On 09/25/18 19:50 PM - Last Modified 04/21/20 00:20 AM


Resolution


La reescritura de DNS (DNS) es una capacidad que ofrecen algunos dispositivos NAT para traducir el registro DNS a de una consulta DNS determinada. El cortafuegos de Palo Alto Networks a partir de ahora no admite la función de médico DNS, pero existen algunas soluciones que pueden utilizarse. 

 

Algunos escenarios en los que se aplica el médico DNS.

 

Escenario 1: 

El servidor DNS externo devuelve la IP pública de un servidor de aplicaciones a un cliente que también está sentado detrás del mismo cortafuegos. 

 

Screen Shot 2016-03-30 en 9.04.24 AM. png 

 

Flujo de tráfico en este caso:

  1. En el caso anterior, el servidor DNS 4.2.2.2 responde a la consulta DNS del cliente con la IP pública del servidor Web, por ejemplo 198.51.100.3.
  2. El cliente ahora accede al servidor Web en la IP pública y remite esa solicitud al cortafuegos. 
  3. El cortafuegos intenta hacer la búsqueda de ruta para 198.51.100.3 IP y encuentra una ruta a través de eth1/1 (Untrust Zone) apuntando al ISP y envía el paquete hacia fuera.

 

Un cortafuegos capaz de reescribir DNS traducirá la dirección IP en la respuesta DNS a la dirección IP privada del servidor, ya que tiene una asignación NAT para el mismo, lo que permite al cliente acceder directamente al servidor a través de LAN a enrutamiento/directivas LAN.

 

Soluciones

  1. Configure el cliente para que utilice el Firewall como proxy DNS, y en firewall configure una entrada estática para www.example.com como 10.1.1.3. Para todas las demás búsquedas, el Firewall puede utilizar 4.2.2.2 como servidor DNS. Cómo configurar proxy DNS en un cortafuegos Palo Alto Networks o
  2. Utilice u-Turn NAT, remitiendo así el tráfico del cliente al servidor: Cómo configurar u-Turn NAT

 

Escenario 2:

El servidor DNS interno devuelve la dirección IP privada del servidor de aplicaciones tanto a usuarios internos como externos.

 

Screen Shot 2016-03-30 en 9.04.36 AM. png

El usuario externo no podrá acceder al servidor, ya que obtendrá la dirección IP privada del servidor Web.

  

Solución alternativa

  1. Agregar un servidor DNS secundario (preferiblemente en una zona DMZ) para servir a clientes externos con una dirección IP pública al servidor.
  2. Cambie el registro de un servidor DNS para utilizar la IP pública del servidor Web y, a continuación, utilice la solución NAT de U Turn como en el caso 1 para que el cliente interno pueda acceder al servidor Web.
  3. Algunos servidores DNS, como bind9, pueden servir diferentes registros dependiendo de la IP de origen del solicitante

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfjCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language