DNS プロキシが Web サイト (URL) を解決していない

DNS プロキシが Web サイト (URL) を解決していない

9812
Created On 09/30/22 17:15 PM - Last Modified 03/02/23 05:27 AM


Symptom


  • ウェブサイトが読み込まれません。
  • nslookups がタイムアウトしています。
  • dnsproxyd.log には、次のエラー メッセージが表示されます。
Warning: pan_dnsproxy_check_udp_size(pan_dnsproxy_pkt_parse.c:188): Adding this record exceeds udp size limit, current 508, record size: 112, udp size limit: 512
Warning: pan_dnsproxy_check_udp_size(pan_dnsproxy_pkt_parse.c:188): Adding this record exceeds udp size limit, current 454, record size: 122, udp size limit: 512

Environment


  • PA-220
  • PANOS-10.0.4
  • DNS プロキシ キャッシュが有効

Cause


dnsproxy キャッシュが有効になっている場合、常にキャッシュからの応答を準備します (レコードが既にキャッシュにあるかどうか、または最初に要求をネーム サーバーに転送する必要があるかどうかに関係なく)。

このプロセス中、dnsproxy は、準備されたDNS応答が大きすぎるかどうか (デフォルトの udp 制限は 512 バイトにする必要があります)。 だから、DNS dnsproxy によって準備された応答は、他のものによってドロップされる可能性がありますPANサイズが制限 (512 またはEDNS)。

この問題は通常、ネストされたCNAMEdnsproxy の圧縮能力が限られているため、レコードとキャッシュが使用される場合。

Resolution


回避策として、次のオプションのいずれかを適用できます。
  1. キャッシュを無効にする
  2. 追加DNSこのプロキシ ルールFQDNキャッシュを使用しない
  3. 使用EDNS(それはより大きくすることができますUDP DNS)

Additional Information


HOW TO VERIFY DNS PROXY
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleyCAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZKECA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language