在帕洛阿尔托网络防火墙上进行 DNS 重写

dns 重写 (dns 篡改) 是某些 NAT 设备为为特定 dns 查询翻译 dns a 记录而提供的功能. 目前帕洛阿尔托网络防火墙不支持 DNS 篡改功能, 但还有一些变通方法可以使用。 

应用 DNS 篡改的某些方案。

场景 1： 

外部 DNS 服务器正在将应用程序服务器的公共 IP 返回给同时位于同一防火墙后面的客户端。 

这种情况下的交通流量:

1. 在上述情况下, dns 服务器4.2.2.2 使用 Web 服务器的公共 IP 对客户端的 dns 查询进行答复, 例如198.51.100.3。
2. 客户端现在访问公共 IP 上的 web 服务器, 并将该请求转发到防火墙。 
3. 防火墙尝试对 198.51.100.3 IP 进行路由查找 , 并通过指向 ISP 的 Eth1/1 (不信任区域) 找到路由并将数据包发送出去.

能够进行 dns 重写的防火墙将 dns 响应中的 IP 地址转换为服务器的专用 ip 地址, 因为它具有 NAT 映射, 这使客户端可以通过 lan 直接访问服务器到 lan 路由/策略。

变通方法

1. 将客户端配置为使用防火墙作为 DNS 代理, 在防火墙中将 www.example.com 的静态项配置为 10.1.1.3. 对于所有其他查找, 防火墙可以使用4.2.2.2 作为 DNS 服务器。如何在帕洛阿尔托网络防火墙上配置 DNS 代理服务器或
2. 使用 u 转接 nat, 从而将通信从客户端转发到服务器:如何配置 u 转接 nat

场景 2：

内部 DNS 服务器正在将应用程序服务器的专用 IP 地址返回给内部和外部用户。

外部用户将无法访问服务器, 因为它将获得 Web 服务器的专用 IP 地址。

解决方法

1. 添加辅助 DNS 服务器 (最好在 DMZ 区域中), 以向服务器提供公共 IP 地址的外部客户端。
2. 将 DNS 服务器的一条记录更改为使用 web 服务器的公共 IP, 然后使用 U 转接 NAT 解决方案作为内部客户端能够访问 web 服务器的情况1。
3. 某些 DNS 服务器 (如 bind9) 可以根据请求者的源 IP 来提供不同的记录