Palo Alto NetworksファイアウォールでのDNS Proxy設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure DNS Proxy on a Palo Alto Networks Firewall
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Proxy-on-a-Palo-Alt...

 

概要

本文ではPalo Alto NetworksファイアウォールにおけるDNS Proxy有効、設定、確認方法について記述しています。

 

手順

Webユーザーインターフェイス画面上:

  1. Network > DNS Proxyを選択
  2. Add をクリックし、DNS Proxy設定画面を表示します。
  3. DNS proxy を有効化するインターフェイスを選択します。下の図例では、Ethernet 1/21/3 が選択されています。
  4. ファイアウォールからDNSクエリーが転送される、プライマリーとセカンダリー サーバーが設定されています。
    プライマリー サーバー10.0.0.246が設定されています。
    Screen Shot 2013-02-07 at 12.22.20 AM.png
  5. 静的エントリーをDNS Proxyに追加することができます。FQDNと相対するAddress情報をStatic Entriesタブに追加します。
  6. Palo Alto NetworksファイアウォールはDNSサーバーからの結果を保持するかどうか設定できます。DNSサーバーからの結果を保持する設定については、How to Configure Caching for the DNS Proxy を参照ください。

    注意 : DNSエントリーが過去の結果から得られない場合、Domainの検索が静的エントリー リストに対して実行されます。合致したエントリーが見つかった場合、それに応じたアドレスが提供されます。もし合致したエントリーがない場合、DNS queryの送信元がDNS Proxy が設定されたインターフェイスの場合(この設定例ではEthernet 1/21/3になります)、DNSリクエストは設定されたプライマリーかセカンダリー サーバーに送られます。

  7. DNS Proxy Rulesタブでは、ルールを設定することができます。Palo Alto Networksファイアウォールでは、ドメイン名によって転送するプライマリーとセカンダリー サーバーを個別に設定ができます。以下の設定例では、DNS proxyルールにおいて、techcrunch.comドメイン名については、DNS サーバー(10.0.0.36)に送付されます。
    Screen Shot 2013-02-07 at 12.38.37 AM.png

注意 : Palo Alto NetworksファイアウォールはリバースDNS proxy ルックアップを実行できます。クライアント側で、DNS proxy設定されいてるインターフェイスのIPアドレスがクライアントに設定されているDNSサーバーで設定されている必要があります。

 

CLIによる設定:

> configure

# set network dns-proxy dnsruletest interface ethernet1/2 enabled yes

# set network dns-proxy dnsruletest default primary 10.0.0.246

# set network dns-proxy dnsruletest static-entries tss domain xyx.com address 1.1.1.1

# set network dns-proxy dnsruletest domain-servers test cacheable no primary 10.0.0.246 domain-name yahoo.com

# commit

 

設定確認

DNS Proxyの設定は以下のコマンドにて確認します。

> show dns-proxy statistics all

 

Name: dnsruletest

Interfaces: ethernet1/2 ethernet1/3 ethernet1/4

Counters:

  Queries received from hosts:12

  Responses returned to hosts:12

  Queries forwarded to servers:6

  Responses received from servers:6

  Queries pending:0

    TCP:0

    UDP:0

--------------------------------------

 

> show dns-proxy cache all

 

Name: dnsruletest

Cache settings:

  Size:1024 entries

  Timeout:14400 seconds

                             

Domain                 IP/Name                 Type  Class     TTL       Hits

------------------------------------------------------------------------------

2.2.2.4.in-addr.arpa   b.resolvers.level3.net   PTR    IN      60598      1

 

さらなる解析情報として、dnsproxyd.logを参照ください。

> tail follow yes mp-log dnsproxyd.log

 

デフォルトの動作として同じゾーンの通信は許可します。しかし"deny all"ルールが存在していると、セキュリティー ルールで通信を許可する必要があります。DNSトラフィックを許可するセキュリティー ルールを追加してください。

 

注意 : DNS Proxyルールはマネージメント インターフェイスからの通信には適応されません。

例えば、マネージメント インターフェイスからDNS Proxyに定義されているエントリーにPingした場合、DNS Proxyルールは適応されず、DNSサーバーからのエントリーが使用されます。

 

参考

Not authorized to view the specified document 3522

Blocking Suspicious DNS Queries with DNS Proxy Enabled