Problembehandlung bei Ausfällen aufgrund DNS security der Stelle, an der firewall keine Protokolle angezeigt werden
5489
Created On 02/05/21 04:56 AM - Last Modified 06/02/25 14:32 PM
Symptom
- Firewall Admin wendet strikt Anti-Spyware policy mit DNS security aktiviert an, die Aktion als Sinkhole hat.
- Sobald die Änderungen angewendet wurden. Die Clients können nicht mehr auf das Internet zugreifen und die Namensauflösung schlägt fehl.Die Traffic-Logs auf der firewall Show DNS Traffic aged out und Not blocked.
- Die Bedrohungsprotokolle zeigen keine relevanten Protokolle mit Sinkhole-Aktion oder DNS-Sicherheitskategorie.
Environment
PanOS 9.0.x oder höher mit DNS security aktivierter Funktion.
Cause
Das Problem könnte durch die Unfähigkeit des verursacht werden, den firewall Backend-Server DNS security zu erreichen, um den Feed herunterzuladen und Suchvorgänge durchzuführen. Verwenden Sie die folgenden Methoden, um dasselbe zu identifizieren.
1: Paketerfassung mit auf dem für DNS den firewall Datenverkehr und überprüfen Sie die globalen Zähler. Bitte verwenden Sie das folgende Dokument ist unsicher, wie Sie vorgehen sollen.
So überprüfen Sie globale Leistungsindikatoren auf eine bestimmte Quell- und Zieladresse IP
ctd_dns_req_lookup_miss 2 1 info ctd pktproc DNS request signature lookup not found ctd_dns_res_fwd_unresolved 10 8 info ctd pktproc DNS response forwarded as not resolved ctd_dns_wait_pkt_drop 43 36 drop ctd pktproc DNS packet drop when waiting ctd_dns_modify_ttl 221 187 info ctd pktproc DNS response packet changed TTL due to timeout2: Die obigen Zähler zeigen an, dass das Paket verworfen wurde, weil firewall es den Backend-Server nicht erreichen konnte.
3: Überprüfen Sie die Ausgabe von DNS security Informationen.
show dns-proxy dns-signature info Cloud URL: dns.service.paloaltonetworks.com:443 Last Result: Timeout was reached ( 0 sec ago ). <<< Last Server Address: 130.211.8.196 Parameter Exchange: Interval 300 sec Whitelist Refresh: Interval 43200 sec Request Waiting Transmission: 0 Request Pending Response: 41 Cache Size: 04: Die obige Ausgabe zeigt an, dass er firewall nicht in der Lage ist, dns.service.paloaltonetworks.com zu erreichen, die er benötigt.
5: Bei der weiteren Fehlerbehebung stellt der Benutzer fest, dass das Problem ein policy Block auf der firewallist.
2021/02/04 20:14:00 paloalto-dns-se trust 53867 x.x.x.x Inside Intrazone_default deny untrust 443 130.211.8.196
Resolution
1: Erstellen Sie eine Allow-Regel mit relevanten Daten und FQDN für dns.service.paloaltonetworks.com und app als paloalto-dns-security, um das Problem zu beheben.
2: Sobald die Zulassungsregel erstellt wurde, ändert sich die Ausgabe der DNS Signaturinformationen.
show dns-proxy dns-signature info Cloud URL: dns.service.paloaltonetworks.com:443 Last Result: Good ( 1 sec ago ) Last Server Address: 130.211.8.196 Parameter Exchange: Interval 300 sec Whitelist Refresh: Interval 43200 sec Request Waiting Transmission: 0 Request Pending Response: 1 Cache Size: 1683: Jetzt sollten die Bedrohungsprotokolle beginnen, die relevanten Protokolle gemäß der Konfiguration anzuzeigen.
Additional Information
Nützliche Befehle zur Behebung von Problemen DNS security .
show dns-proxy dns-signature info show dns-proxy dns-signature content debug dnsproxyd dns-signature info debug dnsproxyd dns-signature counters test dns-proxy dns-signature fqdn <value>