如何实施DHCP帕洛阿尔托网络中的选项 119(域搜索列表) firewall

如何实施DHCP帕洛阿尔托网络中的选项 119(域搜索列表) firewall

18310
Created On 01/23/23 19:02 PM - Last Modified 01/31/23 00:16 AM


Objective


本文的目的是为信息安全专业人员提供实施所需的知识和工具DHCP帕洛阿尔托网络防火墙上的选项 119。

Environment


  • 帕洛阿尔托网络firewall跑步PAN-OS8.1 或更高版本
  • DHCP 服务器配置和功能托管从 firewall

Procedure


  1. 登录到帕洛阿尔托网络firewall管理界面。
  2. 导航到“网络”选项卡,然后选择DHCP.
  3. 选择DHCP您要配置的服务器接口。
DHCP 界面
  1. 选择“选项”选项卡,然后在“自定义”下DHCP选项单击添加按钮。
  2. 为选项命名,例如“Option 119”。 在选项代码字段中,输入 119。
屏幕截图 2023-01-23 于 4.32.42PM .png
  1. 在“值”字段中,选择“十六进制”单选按钮并添加要使用十六进制字符串格式配置的任何搜索域。 为您要添加的每个域添加额外的行。每个额外的行都与之前的行连接在一起,因此条目的顺序很重要。 支持压缩指针。
  2. 点击OK按钮。
  3. 提交配置更改。

.
DHCP选项 119 输入格式

.


 

独立条目

.
条目的格式将使每个域前面都有一个字节值,该字节值表示域名上的字符数,直到下一个点。在每个条目的末尾,它将由 00 值分隔。

例如,要记录条目“example.com”,我们将有:07 'example' 03 'com' 00。 如果我们将完整条目转换为十六进制,则结果为:

076578616d706c6503636f6d00

.
数组项

.
现在假设我们要添加搜索域“first.example.com”和“second.example.com”。

我们可以用十六进制字符串来实现:
056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00

即由:05'first'07'example'03'com'00组成; 06 '第二' 07 '例子' 03 'com' 00.

请注意,选项 119 的最大长度为 255 个字符,因此使用压缩指针来减少条目的长度可能很重要。

.
压缩指针入口

.

如果使用压缩指针,它将在条目的末尾定义,并用 c0 后跟字节偏移量进行注释。

例如,如果我们要表示 subdomain.example.com,则条目现在为:

076578616d706c6503636f6d0009737562646f6d61696ec000

请注意,我们从 example.com 开始,然后添加 09 'subdomain' c0 和 00。c0 表示压缩指针,它指向偏移量 00,我们有 example.com。

如果我们有一个 www.example.com 的条目并且我们想添加 pointer.example.com,请注意偏移量将为 4,以说明 www。例子:

03777777076578616d706c6503636f6d0007706f696e746572c004

.

把它们放在一起

.
我们提供了一个包含以下条目的搜索列表:

例子.com
子域名.example.com
www.example.com
pointer.example.com
first.example.com
second.example.com
third.example.com

我们查看配置并看到以下条目:
076578616d706c6503636f6d0009737562646f6d61696ec000(example.com 和 subdomain.example.com 利用压缩指针)
03777777076578616d706c6503636f6d0007706f696e746572c000(不利用压缩指针的 www.example.com,随后是利用压缩指针的 pointer.example.com)
056669727374076578616d706c6503636f6d00067365636f6e64076578616d706c6503636f6d00(first.example.com 和 second.example.com 未利用压缩指针,连接在一行中)
057468697264076578616d706c6503636f6d00(独立条目 third.example.com 未利用压缩指针)

我们想要优化条目,因此我们将使用指向 example.com 的压缩指针
为了更清楚,我们将在第一行添加基本域,并且每个条目都利用压缩指针:
076578616d706c6503636f6d00 (example.com)
09737562646f6d61696ec000(子域 -> example.com)
03777777c000(www -> example.com)
07706f696e746572c000(指针 -> example.com)
056669727374c000(第一 -> example.com)
067365636f6e64c000(第二 -> example.com)
057468697264c000(第三 -> example.com)
屏幕截图 2023-01-23 在 5.00.44PM .png

.
验证它是否按预期工作

.
在 Windows 10 中,我们可以运行 ipconfig /renew 和 ipconfig /all 来验证域是否正确显示。
屏幕截图 2023-01-23 于 4.39.59PM .png

在 MacOS 和 Linux 中,执行命令:

cat /etc/resolv.conf
屏幕截图 2023-01-23 于 4.34.00PM .png

Additional Information


  • DHCP 选项 119 定义在RFC3397
  • DHCP 选项 119 支持PAN-OS8.1 及更高版本
  • DHCP 选项 119 允许最多 255 个字符的数据,可用于配置多个搜索域。
  • 测试DHCP之后通过在客户端设备上运行 nslookup 或 dig 命令来配置选项 119DHCP选项 119 配置在DHCP服务器验证配置。
  • DHCP 选项 119 通常与DHCP选项 15(域名)提供完整的DNS分辨率能力。
注意:始终建议在生产中实施之前在实验室环境中测试实施。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000saawCAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language