Wie funktioniert die Funktion "Hostname auflösen"
31087
Created On 12/09/20 15:32 PM - Last Modified 12/14/22 04:44 AM
Question
Das Kontrollkästchen "Hostname auflösen", das auf der Registerkarte Monitor der WebUI der / verfügbar ist, PA firewall hilft einem Administrator beim Panorama Auflösen der IP-Adressen in den Protokollen zu den entsprechenden Hostnamen. Dies gilt für eine Vielzahl von Protokollen wie Verkehr, Bedrohung, Datenfilterung usw.
Der Zweck dieses Artikels besteht darin, zu besprechen, was hinter den Kulissen geschieht, wenn dieses Kontrollkästchen aktiviert ist.
Environment
Palo Alto Firewall / Panorama WebUI
Answer
Standardmäßig werden in den Protokollen auf der Registerkarte Monitor IP-Adressen in den Quell-/Ziel-IP-Feldern angezeigt, wie unten gezeigt.
Die Funktion "Hostname auflösen" kann die IP-Adresse in einem Protokolleintrag mithilfe der auf der oder durch eine Suche konfigurierten Adressobjekte in die entsprechende IP-Adresse firewall DNS auflösen.
Wenn das Kontrollkästchen aktiviert ist, überprüft das Gerät zunächst, ob ein entsprechendes Adressobjekt konfiguriert ist. Wenn gefunden, wird es dasselbe angezeigt. In diesem Beispiel ist für die IP-Adresse 192.168.1.20 ein entsprechendes Adressobjekt konfiguriert.
Wenn ein Adressobjekt nicht auf dem Gerät konfiguriert ist, sendet das Gerät eine DNS Anforderung für den Datensatz der PTR IP-Adresse. In diesem Beispiel sendet das Gerät eine DNS Anforderung für einen entsprechenden PTR Datensatz, wie in der Abbildung unten
DNS gezeigt Frame
5: 96 Bytes auf Draht (768 Bit), 96 Bytes erfasst (768 Bits) auf NPF_ der Schnittstelle id 0
Ethernet , II Src: PaloAlto_e8:c0:12 (b4:0c:25:e8:c0:12), Dst: VMware_81:8f:92 (00:50:56:81:8f:92)
Internet Protocol Version 4, Src: 10.46.48.33, Dst: 10.46.223.14
User Datagram Protocol, Src Port: 37106, Dst Port: 53
Domain Name System (query)
Transaktion : 0x9869 ID
Flags: 0x0100 Standardabfrage
Fragen: 1 Antwort
RRs: 0
Authority RRs: 0
Zusätzliche RRs: 1
Abfragen
10.1.168.192.in-addr.arpa: typ PTR , IN
klassenname: 10.1.168.192.in-addr.arpa
[Name Länge: 25]
[Label Count: 6]
Typ: PTR (Domainname PoinTeR) (12)
Klasse: IN (0x0001)
Zusätzliche Datensätze
[Antwort in : 6]
DNS
antworte Frame 6: 143 Bytes auf Draht (1144 Bit), 143 Bytes erfasst (1144 Bits) auf der Schnittstelle ,,Device-NPF_-20A9F1FB-D2FE-4391-A08D-BC87DCA7BE1A, id 0
Ethernet II , Src: VMware_81:8f:92 (00:50:56:81:8f:92), Dst: PaloAlto_e8:c0:12 (b4:0c:25:e8:c0:12)
Internet Protocol Version 4, Src: 10.46.223.14, Dst: 10.46.48.33
Benutzerdatengramm Protokoll, Src Port: 53, Dst Port: 37106
Domain Name System (response)
Transaction : 0x9869 ID
Flags: 0x8580 Standard query response, No error
Questions: 1 Answer
RRs: 1
Authority RRs: 0
Additional RRs: 1
Queries
10.1.168.192.in-addr.arpa: type PTR , class IN
Name: 10.1.168.192.in-addr.arpa
[Name Length: 25]
[Label Count: 6]
Typ: PTR (Domainname PoinTeR) (12)
Klasse: IN (0x0001)
Antworten
10.1.168.192.in-addr.arpa: typ PTR , class , IN testmachine01.pantac-223-14.local
Name: 10.1.168.192.in-addr.arpa
Typ: PTR (Domainname PoinTeR) (12)
Klasse: IN (0x0001)
Zeit zu leben : 3600 (1 Stunde)
Datenlänge: 35
Domänenname: testmachine01.pantac-223-14.local
Zusätzliche Datensätze
[Anfrage in: 5]
[Zeit: 0.000223000 Sekunden]
Hinweis: Wenn ein Adressobjekt auf dem Gerät für eine bestimmte Adresse konfiguriert ist und es auch einen Eintrag für diese Adresse im DNS Server gibt, würde der "Hostname auflösen" die Adresse an das konfigurierte Adressobjekt auflösen.