DNS réécrire sur un pare-feu Palo Alto Networks

DNS réécrire sur un pare-feu Palo Alto Networks

66019
Created On 09/25/18 19:50 PM - Last Modified 04/21/20 00:20 AM


Resolution


La réécriture DNS (DNS doctoring) est une fonctionnalité que certains périphériques NAT proposent afin de traduire l'enregistrement DNS a pour une requête DNS particulière. Le pare-feu de Palo Alto Networks à partir de maintenant ne prend pas en charge la fonction de médecin DNS, mais il ya quelques solutions de contournement qui peuvent être utilisés. 

 

Certains scénarios dans lesquels la médecine DNS s'applique.

 

Scénario 1 : 

Le serveur DNS externe renvoie l'ADRESSE IP publique d'un serveur d'applications à un client qui est également assis derrière le même pare-feu. 

 

Screen Shot 2016-03-30 à 9.04.24 AM. png 

 

Circulation dans ce cas:

  1. Dans le cas ci-dessus, le serveur DNS 4.2.2.2 répond à la requête DNS du client avec l'ADRESSE IP publique du serveur Web, par exemple 198.51.100.3.
  2. Le client accède maintenant au serveur Web sur l'IP publique et transmet cette demande au pare-feu. 
  3. Le pare-feu tente de faire la recherche de route pour 198.51.100.3 IP et trouve un itinéraire via eth1/1 (zone de non-confiance) pointant vers le FAI et envoie le paquet.

 

Un pare-feu capable de réécrire DNS traduira l'adresse IP dans la réponse DNS à l'adresse IP privée du serveur, car il a le mappage NAT pour le même, ce qui permet au client d'accéder directement au serveur via LAN à LAN routage/stratégies.

 

Solutions de contournement

  1. Configurez le client pour qu'il utilise le pare-feu en tant que proxy DNS et, sur le pare-feu, configurez une entrée statique pour www.example.com comme 10.1.1.3. Pour toutes les autres recherches, le pare-feu peut utiliser 4.2.2.2 comme serveur DNS. Comment faire pour configurer proxy DNS sur un pare-feu Palo Alto Networks ou
  2. Utilisez u-Turn NAT, ce qui transmet le trafic du client vers le serveur: Comment faire pour configurer u-Turn NAT

 

Scénario 2 :

Le serveur DNS interne renvoie l'adresse IP privée du serveur d'applications aux utilisateurs internes et externes.

 

Screen Shot 2016-03-30 à 9.04.36 AM. png

L'utilisateur externe ne sera pas en mesure d'accéder au serveur, car il obtiendra l'adresse IP privée du serveur Web.

  

Pour résoudre ce problème

  1. Ajoutez un serveur DNS secondaire (de préférence dans une zone DMZ) pour servir des clients externes avec une adresse IP publique au serveur.
  2. Changez l'enregistrement d'UN serveur DNS pour utiliser l'ADRESSE IP publique du serveur Web, puis utilisez la solution NAT U Turn comme dans le cas 1 pour que le client interne puisse accéder au serveur Web.
  3. Certains serveurs DNS, comme bind9, peuvent servir des enregistrements différents en fonction de l'adresse IP source du demandeur

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfjCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language