DNS Reescribir para DNS el paquete de respuesta no funciona.

DNS Reescribir para DNS el paquete de respuesta no funciona.

10596
Created On 02/15/22 03:30 AM - Last Modified 06/03/23 08:35 AM


Symptom


  • Cuando a firewall tiene reglas de destino NAT configuradas con DNS reescritura, el DNS servidor debe NAT IP devolverlas firewall en respuesta en DNS función de la regla configuradaNAT.
  • La IP dirección del DNS paquete de respuesta Del servidor al cliente no se está NATed según NAT Policy.
  • Consulte Casos de uso de Destino NAT con reescritura y Configurar destino con DNS reescritura para obtener más información.DNS NAT

Environment


  • Palo Alto Firewalls
  • PAN-OS 9.1, 10.1, 10.2
  • Regla de destino NAT configurada con DNS reescritura
  • Desactivar la inspección de respuesta del servidor (DSRI) activada.

Cause


  • Una de las razones por las que DNS la operación de reescritura puede fallar se debe a la opción "Deshabilitar inspección de respuesta del servidor" habilitada / marcada en la seguridad policy.
  • Con "Deshabilitar la inspección de respuesta del servidor" habilitada / marcada Firewall , detiene la inspección de capa 7 para el tráfico de respuesta (tráfico de servidor a cliente) y detendrá DNS la operación de reescritura en los paquetes de DNS respuesta.
  • Consulte Deshabilitar comprobaciones de inspección BPA de respuesta del servidor para obtener más información.

 

Resolution


  1. Desactive o desmarque "Deshabilitar inspección de respuesta del servidor" en el > de seguridad policy (: Políticas > Seguridad (GUIseleccione la regla).Tenga en cuenta que DSRI el suyo está deshabilitado de forma predeterminada.
  2. Confirme la configuración.

 

Sec_Policy_SS-2.PNG


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NDqCAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language