Warum sendet die Firewall alle 60 Sekunden eine DNS Abfrage für AAAA, wenn die „Minimale FQDN Aktualisierungszeit“ auf mehr als 60 Sekunden eingestellt ist?

Warum sendet die Firewall alle 60 Sekunden eine DNS Abfrage für AAAA, wenn die „Minimale FQDN Aktualisierungszeit“ auf mehr als 60 Sekunden eingestellt ist?

4956
Created On 06/14/22 09:13 AM - Last Modified 01/03/25 04:47 AM


Question


Warum sendet die Firewall alle 60 Sekunden eine DNS Abfrage für AAAA, obwohl die „Minimale FQDN Aktualisierungszeit“ auf einen Wert über 60 Sekunden eingestellt ist?
Die folgende Fehlermeldung erscheint alle 60 Sekunden im dnsproxyd.log (abzüglich mp-log dnsproxyd.log).

admin@PA-VM> tail follow yes mp-log dnsproxyd.log
(snip)
18:24:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:25:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:26:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:27:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8

In diesem Fall ist die „Minimale FQDN Aktualisierungszeit“ auf 180 Sekunden eingestellt.

bild.png

Das FQDN Adressobjekt hat die IPv4 Adresse.

bild.png

Die Firewall sendet nicht alle 180 Sekunden, sondern alle 60 Sekunden eine DNS Abfrage für AAAA.

Environment


  • Palo Alto-Firewalls
  • PAN-OS 9.1 und höher
  • Mit IPv4 Adressen verwendete FQDN Objekte
  • DNS

Answer


  1. Die Firewall sendet eine DNS Abfrage sowohl an A als auch an AAAA, um ein FQDN Adressobjekt aufzulösen.
  2. Wenn die Firewall ein FQDN Adressobjekt aufgelöst hat und über den Cache davon verfügt, sendet die Firewall eine DNS Abfrage, um es gemäß der „Minimalen FQDN Aktualisierungszeit“ zu aktualisieren .
  3. Wenn der FQDN keine IPv6 -Adresse hat und die Firewall das FQDN -Adressobjekt nicht in die IPv6 -Adresse auflösen kann, versucht die Firewall alle 60 Sekunden, eine erneute DNS Abfrage für AAAA zu senden.

Additional Information


  • Dieses Verhalten hängt mit der FQDN Aktualisierungsverbesserung ab PAN-OS 9.0 zusammen.
  • Wenn IPv6 im Netzwerk nicht verwendet wird, können die Fehlermeldungen durch Deaktivieren der IPv6 -Firewall vermieden werden.
  • Wenn die IPv6 Firewall deaktiviert ist, sendet die Firewall nur eine DNS Abfrage für A, um ein FQDN Adressobjekt aufzulösen, aber die Firewall verarbeitet keine IPv6 Pakete.
  • So aktivieren und deaktivieren Sie die IPv6 Firewall

    image.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cq1uCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language