DNS は、パロアルトネットワークファイアウォール上で書き換え

dns 書き換え (dns 改ざん) は、特定の dns クエリの dns a レコードを変換するために、一部の NAT デバイスが提供する機能です。今のところ、パロアルトネットワークファイアウォールは、DNS 改ざん機能をサポートしていませんが、使用することができるいくつかの回避策があります。 

DNS 改ざんが適用されるいくつかのシナリオ。

シナリオ 1: 

外部 DNS サーバーは、アプリケーションサーバーのパブリック IP を、同じファイアウォールの背後にも置かれているクライアントに返します。 

この場合のトラフィックフロー:

1. 上記の場合、dns サーバー4.2.2.2 は、クライアントの dns クエリに対して、たとえば198.51.100.3 という Web サーバーのパブリック IP を使用して応答します。
2. これで、クライアントはパブリック IP 上の web サーバーにアクセスし、その要求をファイアウォールに転送します。 
3. ファイアウォールは、198.51.100.3 IP のルートルックアップを実行しようとし、 ISP を指して Eth1/1 (Untrust ゾーン) 経由でルートを検索し、パケットを送信します。

dns 書き換えが可能なファイアウォールは、同一の NAT マッピングを持っているので、dns 応答の ip アドレスをサーバーのプライベート ip アドレスに変換し、クライアントが lan 経由で lan ルーティング/ポリシーによってサーバーに直接アクセスできるようにします。

回避策

1. ファイアウォールを DNS プロキシとして使用するようにクライアントを構成し、ファイアウォールで www.example.com の静的エントリを 10.1.1.3 として構成します。他のすべてのルックアップでは、ファイアウォールは DNS サーバーとして4.2.2.2 を使用できます。どのようにファイアウォールまたはパロアルトネットワーク上の DNS プロキシを構成する
2. u ターン nat を使用して、クライアントからサーバーにトラフィックを転送する: u ターン nat を構成する方法

シナリオ 2:

内部 DNS サーバーは、アプリケーションサーバーのプライベート IP アドレスを内部および外部の両方のユーザーに返します。

外部ユーザーは、Web サーバーのプライベート IP アドレスを取得するため、サーバーにアクセスできません。

回避策

1. セカンダリ DNS サーバー (できれば DMZ ゾーン) を追加して、外部クライアントにパブリック IP アドレスをサーバーに提供します。
2. web サーバーのパブリック IP を使用するように DNS サーバーの A レコードを変更し、内部クライアントが web サーバーにアクセスできるようにするには、ケース1のように U ターン NAT ソリューションを使用します。
3. bind9 のような一部の DNS サーバーは、リクエスタの送信元 IP に応じて異なるレコードを提供できます。