EDNS0 쿼리가 방화벽을 통과하지 못함

스크린샷에 표시된 대로 EDNS0 쿼리를 실행하면 오류가 발생하여 타임아웃 .

• 팔로 알토 방화벽
• PAN-OS 9.1.x 이상.
• EDNS0 기능 이 있는 DNS 서버와 클라이언트 사이의 PA 방화벽.

이 문제는 다음 중 하나 이상으로 인해 발생할 수 있습니다.

• PA 방화벽 에서 "EDNS 응답 캐시" 옵션이 선택된 상태로 DNS 프록시가 활성화되었습니다.
• DNS 보안이 활성화된 스파이웨어 보안 프로파일 입니다.
• 패킷 기반 공격 보호에 따라 조각 트래픽 옵션이 활성화된 영역 보호 프로파일 .
• EDNS0 패킷이 일반 DNS 에 비해 너무 커서 네트워크 장치에서 조각화가 발생합니다.

1. 고급>캐시에서 "캐시 EDNS0 응답" 옵션이 활성화되어 DNS 프록시가 구성되었는지 확인합니다.

2. DNS 패킷 삭제를 확인하기 위한 글로벌 카운터를 확인하려면 다음 명령을 실행합니다. 즉, "ctd_dns_wait_pkt_drop" 및 IP 조각화. 테스트하는 동안 명령을 여러 번 반복합니다.

debug dataplane packet-diag clear filter-marked-session all
debug dataplane packet-diag set filter match source ip1 destination ip2
debug dataplane packet-diag set filter match source ip2 destination ip1
debug dataplane packet-diag set filter on 
show counter global filter delta yes | match "dns"
show counter global filter delta yes | match "ctd_dns_wait_pkt_drop"
show counter global filter delta yes | match "ipfrag"

3. DNS 보안이 포함된 스파이웨어 보안 프로파일 활성화된 경우 비활성화하고 쿼리를 확인하세요.

4. 패킷 기반 공격 보호에서 조각 트래픽 옵션이 활성화된 영역 보호 프로파일 비활성화하고 테스트합니다.

5. DNS 애플리케이션 검증할 수 있도록 애플리케이션 오버리드 생성 할 수도 있습니다.

6. 방화벽 에서 관련 카운터가 보이지 않고 위의 문제 해결을 수행한 경우 패킷 캡처를 수행하여 IP 조각화 쿼리 및 대응 찾을 수 있습니다.

• 캡처의 예:

• 방화벽 통한 성공적인 EDNS0 쿼리의 예:

• 캡처된 영상은 방화벽 수신, 처리, 전송하고 대응 다시 받는 모습을 보여줍니다.
• 방화벽 에서 아무런 대응 수신되지 않으면 관련 업스트림 장치를 확인하십시오. EDNS0는 아직 네트워크 장치에서 널리 지원되지 않으므로 조각화 문제나 DF 비트 가 켜져서 패킷이 너무 커져서 삭제되었을 가능성이 있고, 비대칭 라우팅 문제일 수도 있습니다.
• 방화벽 에서 대응 받았지만 여전히 클라이언트 DNS 서버에서 대응 볼 수 없는 경우, 대응 패킷에서 DF 비트 (분할 금지 비트 )가 켜져 있고 방화벽 이를 삭제하는지 확인하십시오.
• 또한, 방화벽 패킷을 수신하고 삭제하는지 여부를 더 자세히 알아보려면 자세한 패킷 캡처(예: flow basic, app-id)를 실행해야 할 수 있습니다. 추가 지원이 필요하면 지원 사례를 여세요.