DNS 代理不解析网站(URL)

DNS 代理不解析网站(URL)

9818
Created On 09/30/22 17:15 PM - Last Modified 03/02/23 05:29 AM


Symptom


  • 网站未加载。
  • nslookups 超时。
  • dnsproxyd.log 显示以下错误消息:
Warning: pan_dnsproxy_check_udp_size(pan_dnsproxy_pkt_parse.c:188): Adding this record exceeds udp size limit, current 508, record size: 112, udp size limit: 512
Warning: pan_dnsproxy_check_udp_size(pan_dnsproxy_pkt_parse.c:188): Adding this record exceeds udp size limit, current 454, record size: 122, udp size limit: 512

Environment


  • PA-220
  • PANOS-10.0.4
  • DNS 启用代理缓存

Cause


当启用 dnsproxy 缓存时,我们总是准备来自缓存的响应(无论我们是否已经在缓存中有记录或者我们需要先将请求转发到名称服务器)。

在此过程中,dnsproxy 不会检查准备好的DNS响应是否太大(默认 udp 限制应为 512 字节)。 所以DNSdnsproxy 准备的响应可能会被其他人删除PANFW 或网络设备,如果大小大于限制(512 或以其他方式指定EDNS).

这个问题通常发生在嵌套CNAME记录以及由于 dnsproxy 的压缩能力有限而使用缓存的时间。

Resolution


作为解决方法,可以应用以下任何选项:
  1. 禁用缓存
  2. 添加DNS这个的代理规则FQDN并且不使用缓存
  3. 使用EDNS(它允许更大UDP DNS)

Additional Information


HOW TO VERIFY DNS PROXY
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CleyCAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZKECA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language