¿Por qué el cortafuegos envía una consulta DNS para AAAA cada 60 segundos cuando el “Tiempo mínimo de actualización de FQDN ” está configurado en más de 60 segundos?

¿Por qué el cortafuegos envía una consulta DNS para AAAA cada 60 segundos cuando el “Tiempo mínimo de actualización de FQDN ” está configurado en más de 60 segundos?

4956
Created On 06/14/22 09:13 AM - Last Modified 01/03/25 04:49 AM


Question


¿Por qué el cortafuegos envía una consulta DNS para AAAA cada 60 segundos aunque el "Tiempo mínimo de actualización de FQDN" está configurado en un valor superior a 60 segundos?
El siguiente mensaje de error aparece cada 60 segundos en dnsproxyd.log (menos mp-log dnsproxyd.log).

admin@PA-VM> tail follow yes mp-log dnsproxyd.log
(snip)
18:24:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:25:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:26:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:27:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8

En este caso, el "Tiempo mínimo de actualización de FQDN" se establece en 180 segundos.

imagen.png

El objeto de dirección FQDN tiene la dirección IPv4 .

imagen.png

El cortafuegos envía una consulta DNS para AAAA no cada 180 segundos sino cada 60 segundos.

Environment


  • Cortafuegos de Palo Alto
  • PAN-OS 9.1 y superior
  • Objetos FQDN utilizados con direcciones IPv4
  • DNS

Answer


  1. El firewall envía una consulta DNS tanto de A como de AAAA para resolver un objeto de dirección FQDN .
  2. Cuando el cortafuegos ha resuelto un objeto de dirección FQDN y tiene el caché del mismo, envía una consulta DNS para actualizar de acuerdo con "¿Tiempo mínimo de actualización de FQDN ?".
  3. Cuando el FQDN no tiene una dirección IPv6 y el cortafuegos no puede resolver el objeto de dirección FQDN en la dirección IPv6 , el cortafuegos vuelve a intentar enviar una consulta DNS para AAAA cada 60 segundos.

Additional Information


  • Este comportamiento está relacionado con la mejora de actualización de FQDN a partir de PAN-OS 9.0.
  • Si no se utiliza IPv6 en la red, es posible evitar los mensajes de error deshabilitando el firewall de IPv6 .
  • Cuando el firewall IPv6 está deshabilitado, el cortafuegos solo envía una consulta DNS para A para resolver un objeto de dirección FQDN , pero no cortafuegos ningún paquete IPv6 .
  • Cómo habilitar y deshabilitar el firewall IPv6

    image.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000Cq1uCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language