Comment faire pour résoudre les pannes dues à l’endroit DNS security où firewall n’affiche pas les journaux
5523
Created On 02/05/21 04:56 AM - Last Modified 06/02/25 14:32 PM
Symptom
- Firewall admin applique un Anti-Spyware policy strict avec DNS security activé qui a l’action comme gouffre.
- Une fois les modifications appliquées. Les clients ne peuvent plus accéder à Internet et la résolution des noms commence à échouer.Les journaux de trafic sur le montrent DNS le firewall trafic vieilli et non bloqué.
- Les journaux des menaces n’affichent pas de journaux pertinents avec une action de gouffre ou une catégorie de sécurité DNS.
Environment
PanOS 9.0.x ou supérieur avec DNS security fonctionnalité activée.
Cause
Le problème peut être dû à l’impossibilité d’atteindre firewall le DNS security serveur principal pour télécharger le flux et effectuer des recherches. Utilisez les méthodes suivantes pour identifier la même chose.
1: Capture de paquets avec sur le firewall trafic pour DNS et vérifier les compteurs globaux. S’il vous plaît utiliser le document suivant ne sait pas comment procéder.
Comment vérifier les compteurs globaux pour une adresse source et de destination IP spécifique
ctd_dns_req_lookup_miss 2 1 info ctd pktproc DNS request signature lookup not found ctd_dns_res_fwd_unresolved 10 8 info ctd pktproc DNS response forwarded as not resolved ctd_dns_wait_pkt_drop 43 36 drop ctd pktproc DNS packet drop when waiting ctd_dns_modify_ttl 221 187 info ctd pktproc DNS response packet changed TTL due to timeout2: Les compteurs ci-dessus indiquent que le paquet est abandonné en raison de firewall l’impossibilité d’atteindre le serveur principal.
3: Vérifiez la sortie des DNS security informations.
show dns-proxy dns-signature info Cloud URL: dns.service.paloaltonetworks.com:443 Last Result: Timeout was reached ( 0 sec ago ). <<< Last Server Address: 130.211.8.196 Parameter Exchange: Interval 300 sec Whitelist Refresh: Interval 43200 sec Request Waiting Transmission: 0 Request Pending Response: 41 Cache Size: 04: La sortie ci-dessus indique que le n’est firewall pas en mesure d’atteindre dns.service.paloaltonetworks.com ce dont il a besoin.
5: Après un dépannage ultérieur, l’utilisateur trouve que le problème est un policy blocage sur le firewall.
2021/02/04 20:14:00 paloalto-dns-se trust 53867 x.x.x.x Inside Intrazone_default deny untrust 443 130.211.8.196
Resolution
1: Créez une règle d’autorisation avec les données pertinentes et FQDN pour dns.service.paloaltonetworks.com et app en tant que paloalto-dns-security pour résoudre le problème.
2: Une fois la règle d’autorisation créée, la sortie des informations de DNS signature change.
show dns-proxy dns-signature info Cloud URL: dns.service.paloaltonetworks.com:443 Last Result: Good ( 1 sec ago ) Last Server Address: 130.211.8.196 Parameter Exchange: Interval 300 sec Whitelist Refresh: Interval 43200 sec Request Waiting Transmission: 0 Request Pending Response: 1 Cache Size: 1683: Maintenant, les journaux des menaces devraient commencer à afficher les journaux pertinents selon la configuration.
Additional Information
Commandes utiles pour résoudre les DNS security problèmes.
show dns-proxy dns-signature info show dns-proxy dns-signature content debug dnsproxyd dns-signature info debug dnsproxyd dns-signature counters test dns-proxy dns-signature fqdn <value>