DNS のために書き直すDNS応答パケットが機能していません。
10566
Created On 02/15/22 03:30 AM - Last Modified 06/03/23 08:35 AM
Symptom
- ときfirewall目的地ありNATで構成されたルールDNS書き直し、firewallしたほうがいいNAT IPによって返されたDNSサーバーDNS設定に基づく応答NATルール。
- のIPのアドレスDNSサーバーからクライアントへの応答パケットが、NAT されていません。NAT Policy .
- 参照する行き先NATとDNSユースケースの書き換えと宛先の構成NATとDNSリライト詳細については
Environment
- パロアルト ファイアウォール
- PAN-OS 9.1、10.1、10.2
- 行き先NATで構成されたルールDNSリライト
- サーバー応答検査を無効にする (DSRI ) チェック済み。
Cause
- 理由のひとつDNSセキュリティで有効/チェックされている「サーバー応答検査を無効にする」オプションが原因で、書き換え操作が失敗する可能性がありますpolicy.
- 「サーバー応答検査を無効にする」が有効/チェックされている場合Firewall応答トラフィック (サーバーからクライアントへのトラフィック) のレイヤー 7 インスペクションを停止し、停止しますDNSの書き換え操作DNS応答パケット。
- 参照するサーバー応答検査を無効にするBPA小切手詳細については。
Resolution
- セキュリティで「サーバー応答検査を無効にする」を無効にする/チェックを外すpolicy(GUI : [ポリシー] > [セキュリティ] > (ルールを選択します)。ご了承くださいDSRIこれはデフォルトで無効になっています。
- 専念構成。