¿Cómo funciona la función "Resolver nombre de host"
31111
Created On 12/09/20 15:32 PM - Last Modified 12/14/22 04:44 AM
Question
La casilla de verificación "Resolver nombre de host" que está disponible en la pestaña Monitor de la WebUI del PA firewall / ayuda a un administrador a resolver las direcciones IP en los registros a los nombres de host Panorama correspondientes. Esto se aplica a una variedad de registros como tráfico, amenaza, filtrado de datos, etc.
El propósito de este artículo es discutir lo que sucede detrás de las escenas cuando se selecciona esta casilla de verificación.
Environment
Palo Alto Firewall / Panorama WebUI
Answer
De forma predeterminada, los registros en la pestaña del monitor mostrarán las direcciones IP en los campos IP de origen/destino como se muestra a continuación.
La característica "Resolver nombre de host" puede resolver la dirección IP en una entrada de registro a la dirección IP correspondiente utilizando los objetos de dirección configurados en el firewall o haciendo una DNS búsqueda.
Cuando se selecciona la casilla de verificación, el dispositivo comprobará primero si hay un objeto de dirección correspondiente configurado. Si se encuentra, se mostrará lo mismo. En este ejemplo, la dirección IP 192.168.1.20 tiene un objeto de dirección correspondiente configurado.
Si un objeto de dirección no está configurado en el dispositivo, el dispositivo enviará una DNS solicitud para el registro de la dirección PTR IP. En este ejemplo, el dispositivo envía una DNS solicitud para un registro correspondiente como se muestra en la imagen siguiente solicitud Trama PTR
DNS
5: 96 bytes en el cable (768 bits), 96 bytes capturados (768 bits) en la interfaz \Device\NPF_{20A9F1FB-D2FE-4391-A08D-BC87DCA7BE1A}, id 0
Ethernet , II Src: PaloAlto_e8:c0:12 (b4:0c:25:e8:c0:12), Dst: VMware_81:8f:92 (00:50:56:81:8f:92)
Protocolo de Internet Versión 4, Src: 10.46.48.33, Dst: 10.46.223.14
Protocolo de datagrama de usuario, puerto Src: 37106, puerto Dst: 53
sistema de nombres de dominio (consulta)
Transacción : 0x9869 ID
Indicadores: preguntas de consulta estándar
0x0100: 1
RRs de respuesta: 0
RRs de autoridad: 0
RRs adicionales: 1
Consultas
10.1.168.192.in-addr.arpa: tipo PTR , nombre de IN
clase: 10.1.168.192.in-addr.arpa
[Longitud del nombre: 25]
[Recuento de etiquetas: 6]
Tipo: PTR (nombre de dominio PoinTeR) (12)
Clase: IN (0x0001)
Registros adicionales
[Respuesta en : 6]
DNS responder
la trama 6: 143 bytes en el cable (1144 bits), 143 bytes capturados (1144 bits) en la interfaz \Device\NPF_{20A9F1FB-D2FE-4391-A08D-BC87DCA7BE1A}, id 0
Ethernet , II Src: VMware_81:8f:92 (00:50:56:81:8f:92), Dst: PaloAlto_e8:c0:12 (b4:0c:25:e8:c0:12)
Protocolo de Internet Versión 4, Src: 10.46.223.14, Dst: Protocolo de datagramas de usuario 10.46.48.33,
Puerto Src: 53, Puerto Dst: 37106
Sistema de nombres de dominio (respuesta)
Transacción : 0x9869 ID
Indicadores: 0x8580 Respuesta de consulta estándar, Sin preguntas de
error: 1
RRs de respuesta: 1
RRs de autoridad: 0
RRs adicionales: 1
consultas
10.1.168.192.in-addr.arpa: tipo PTR , nombre de IN
clase: 10.1.168.192.in-addr.arpa
[Longitud del nombre: 25]
[Recuento de etiquetas: 6]
Tipo: PTR (nombre de dominio PoinTeR) (12)
Clase: IN (0x0001)
Respuestas
10.1.168.192.in-addr.arpa: tipo PTR , clase , IN testmachine01.pantac-223-14.local
Nombre: 10.1.168.192.in-addr.arpa
Tipo: PTR (nombre de dominio PoinTeR) (12)
Clase: IN (0x0001)
Tiempo de vida : 3600 (1 hora)
Longitud de datos: 35
Nombre de dominio: testmachine01.pantac-223-14.local
Registros adicionales
[Solicitud en: 5]
[Tiempo: 0.0002223000 segundos]
Nota: Cuando se configura un objeto de dirección en el dispositivo para una dirección determinada y cuando también hay una entrada para esta dirección en el DNS servidor, el "Resolver nombre de host" resolvería la dirección al objeto de dirección configurado.