DNS 重写DNS回复数据包不工作。
10568
Created On 02/15/22 03:30 AM - Last Modified 06/03/23 08:35 AM
Symptom
- 当一个firewall有目的地NAT配置的规则DNS重写,firewall应该NAT IP返回的DNS服务器在DNS基于配置的响应NAT规则。
- 这IP地址在DNS从服务器到客户端的响应数据包没有按照要求进行 NATNAT Policy .
- 参考目的地NAT和DNS重写用例和配置目的地NAT和DNS改写详情
Environment
- 帕洛阿尔托防火墙
- PAN-OS 9.1、10.1、10.2
- 目的地NAT规则配置为DNS改写
- 禁用服务器响应检查 (DSRI ) 检查。
Cause
- 原因之一DNS重写操作可能会失败是由于在安全性中启用/检查了“禁用服务器响应检查”选项policy.
- 启用/选中“禁用服务器响应检查”Firewall停止对响应流量(服务器到客户端流量)的第 7 层检查,它将停止DNS重写操作DNS响应数据包。
- 参考禁用服务器响应检查BPA支票了解详情。
Resolution
- 在安全性中禁用/取消选中“禁用服务器响应检查”policy (GUI :策略 > 安全 >(选择规则).注意DSRI默认情况下禁用他。
- 犯罪配置。