DNS Das Umschreiben für DNS das Antwortpaket funktioniert nicht.

DNS Das Umschreiben für DNS das Antwortpaket funktioniert nicht.

10596
Created On 02/15/22 03:30 AM - Last Modified 06/03/23 08:35 AM


Symptom


  • Wenn a firewall Zielregeln mit DNS Rewrite konfiguriert hatNAT, sollten NAT IP sie firewall vom DNS Server als DNS Antwort basierend auf der konfigurierten NAT Regel zurückgegeben werden.
  • Die IP Adresse im DNS Antwortpaket Vom Server zum Client wird nicht gemäß NATed gesendet NAT Policy.
  • Weitere Informationen finden Sie unter Anwendungsfälle "Ziel mit Umschreiben" und "Ziel NAT mit DNS Umschreiben konfigurieren"DNS NAT

Environment


  • Palo Alto Firewalls
  • PAN-OS 9.1, 10.1, 10.2
  • Mit Rewrite konfigurierte DNS Zielregel NAT
  • Server Response Inspection deaktivieren (DSRI) ist aktiviert.

Cause


  • Einer der Gründe, warum der Umschreibungsvorgang fehlschlagen kann, DNS ist die Option "Server Response Inspection deaktivieren", die in der Sicherheit policyaktiviert/aktiviert ist.
  • Wenn "Server Response Inspection deaktivieren" aktiviert/aktiviert Firewall ist, stoppt die Layer-7-Inspektion für Antwortdatenverkehr (Server-zu-Client-Datenverkehr) und stoppt DNS den Umschreibungsvorgang für DNS Antwortpakete.
  • Weitere Informationen finden Sie unter Deaktivieren von Server Response Inspection BPA Reviews.

 

Resolution


  1. Deaktivieren/deaktivieren Sie "Disable Server Response Inspection" im > "Sicherheit" (: Richtlinien > Sicherheitpolicy (GUIwählen Sie die Regel aus).Beachten Sie, dass DSRI seine standardmäßig deaktiviert ist.
  2. Führen Sie einen Commit für die Konfiguration aus.

 

Sec_Policy_SS-2.PNG


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NDqCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language