DNS La réécriture du DNS paquet de réponse ne fonctionne pas.
10576
Created On 02/15/22 03:30 AM - Last Modified 06/03/23 08:35 AM
Symptom
- Lorsque des règles de destination sont firewall configurées avec DNS réécriture, le doit NAT IP être renvoyé par le firewall DNS serveur en DNS réponse en fonction de la règle configuréeNAT.NAT
- L’adresse IP dans le DNS paquet de réponse Du serveur au client n’est pas NAT selon NAT Policy.
- Reportez-vous à Destination NAT avec réécriture et Configurer la destination avec DNS réécriture pour plus de détails.DNS NAT
Environment
- Pare-feu Palo Alto
- PAN-OS 9.1, 10.1, 10.2
- Règle de destination NAT configurée avec DNS réécriture
- Désactiver l’inspection des réponses du serveur (DSRI) cochée.
Cause
- L'une des raisons pour lesquelles DNS l'opération de réécriture peut échouer est due à l'option « Désactiver l'inspection de la réponse du serveur » activée / cochée dans la sécurité policy.
- Avec « Désactiver l'inspection de réponse du serveur » activé / coché Firewall arrête l'inspection de la couche 7 pour le trafic de réponse (trafic serveur vers client) et il arrêtera DNS l'opération de réécriture sur DNS les paquets de réponse.
- Reportez-vous à la section Désactiver les vérifications d’inspection BPA des réponses du serveur pour plus de détails.
Resolution
- Désactivez/décochez l’option « Désactiver l’inspection des réponses du serveur » dans la sécurité policy (: Stratégies > > Sécurité (GUIsélectionnez la règle).Notez que DSRI le sien est désactivé par défaut.
- Validez la configuration.