Palo Alto NetworksファイアウォールでのDNS Proxy設定方法

※この記事は以下の記事の日本語訳です。
How to Configure DNS Proxy on a Palo Alto Networks Firewall
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Proxy-on-a-Palo-Alt...

概要

本文ではPalo Alto NetworksファイアウォールにおけるDNS Proxy有効、設定、確認方法について記述しています。

手順

Webユーザーインターフェイス画面上:

1. Network > DNS Proxyを選択
2. Add をクリックし、DNS Proxy設定画面を表示します。
3. DNS proxy を有効化するインターフェイスを選択します。下の図例では、Ethernet 1/2と1/3 が選択されています。
4. ファイアウォールからDNSクエリーが転送される、プライマリーとセカンダリー サーバーが設定されています。
   プライマリー サーバー10.0.0.246が設定されています。
   
5. 静的エントリーをDNS Proxyに追加することができます。FQDNと相対するAddress情報をStatic Entriesタブに追加します。
6. Palo Alto NetworksファイアウォールはDNSサーバーからの結果を保持するかどうか設定できます。DNSサーバーからの結果を保持する設定については、How to Configure Caching for the DNS Proxy を参照ください。
   
   注意 : DNSエントリーが過去の結果から得られない場合、Domainの検索が静的エントリー リストに対して実行されます。合致したエントリーが見つかった場合、それに応じたアドレスが提供されます。もし合致したエントリーがない場合、DNS queryの送信元がDNS Proxy が設定されたインターフェイスの場合（この設定例ではEthernet 1/2か1/3になります）、DNSリクエストは設定されたプライマリーかセカンダリー サーバーに送られます。
   
   
7. DNS Proxy Rulesタブでは、ルールを設定することができます。Palo Alto Networksファイアウォールでは、ドメイン名によって転送するプライマリーとセカンダリー サーバーを個別に設定ができます。以下の設定例では、DNS proxyルールにおいて、techcrunch.comドメイン名については、DNS サーバー（10.0.0.36）に送付されます。
   

注意 : Palo Alto NetworksファイアウォールはリバースDNS proxy ルックアップを実行できます。クライアント側で、DNS proxy設定されいてるインターフェイスのIPアドレスがクライアントに設定されているDNSサーバーで設定されている必要があります。

CLIによる設定:

> configure

# set network dns-proxy dnsruletest interface ethernet1/2 enabled yes

# set network dns-proxy dnsruletest default primary 10.0.0.246

# set network dns-proxy dnsruletest static-entries tss domain xyx.com address 1.1.1.1

# set network dns-proxy dnsruletest domain-servers test cacheable no primary 10.0.0.246 domain-name yahoo.com

# commit

設定確認

DNS Proxyの設定は以下のコマンドにて確認します。

> show dns-proxy statistics all

Name: dnsruletest

Interfaces: ethernet1/2 ethernet1/3 ethernet1/4

Counters:

  Queries received from hosts:12

  Responses returned to hosts:12

  Queries forwarded to servers:6

  Responses received from servers:6

  Queries pending:0

    TCP:0

    UDP:0

--------------------------------------

> show dns-proxy cache all

Name: dnsruletest

Cache settings:

  Size:1024 entries

  Timeout:14400 seconds

Domain                 IP/Name                 Type  Class     TTL       Hits

------------------------------------------------------------------------------

2.2.2.4.in-addr.arpa   b.resolvers.level3.net   PTR    IN      60598      1

さらなる解析情報として、dnsproxyd.logを参照ください。

> tail follow yes mp-log dnsproxyd.log

デフォルトの動作として同じゾーンの通信は許可します。しかし"deny all"ルールが存在していると、セキュリティー ルールで通信を許可する必要があります。DNSトラフィックを許可するセキュリティー ルールを追加してください。

注意 : DNS Proxyルールはマネージメント インターフェイスからの通信には適応されません。

例えば、マネージメント インターフェイスからDNS Proxyに定義されているエントリーにPingした場合、DNS Proxyルールは適応されず、DNSサーバーからのエントリーが使用されます。

参考

Not authorized to view the specified document 3522

Blocking Suspicious DNS Queries with DNS Proxy Enabled