※この記事は以下の記事の日本語訳です。
How to Configure DNS Proxy on a Palo Alto Networks Firewall
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-DNS-Proxy-on-a-Palo-Alt...
本文ではPalo Alto NetworksファイアウォールにおけるDNS Proxy有効、設定、確認方法について記述しています。
Webユーザーインターフェイス画面上:
注意 : Palo Alto NetworksファイアウォールはリバースDNS proxy ルックアップを実行できます。クライアント側で、DNS proxy設定されいてるインターフェイスのIPアドレスがクライアントに設定されているDNSサーバーで設定されている必要があります。
CLIによる設定:
> configure
# set network dns-proxy dnsruletest interface ethernet1/2 enabled yes
# set network dns-proxy dnsruletest default primary 10.0.0.246
# set network dns-proxy dnsruletest static-entries tss domain xyx.com address 1.1.1.1
# set network dns-proxy dnsruletest domain-servers test cacheable no primary 10.0.0.246 domain-name yahoo.com
# commit
DNS Proxyの設定は以下のコマンドにて確認します。
> show dns-proxy statistics all
Name: dnsruletest
Interfaces: ethernet1/2 ethernet1/3 ethernet1/4
Counters:
Queries received from hosts:12
Responses returned to hosts:12
Queries forwarded to servers:6
Responses received from servers:6
Queries pending:0
TCP:0
UDP:0
--------------------------------------
> show dns-proxy cache all
Name: dnsruletest
Cache settings:
Size:1024 entries
Timeout:14400 seconds
Domain IP/Name Type Class TTL Hits
--------------------------------------------------
2.2.2.4.in-addr.arpa b.resolvers.level3.net PTR IN 60598 1
さらなる解析情報として、dnsproxyd.logを参照ください。
> tail follow yes mp-log dnsproxyd.log
デフォルトの動作として同じゾーンの通信は許可します。しかし"deny all"ルールが存在していると、セキュリティー ルールで通信を許可する必要があります。DNSトラフィックを許可するセキュリティー ルールを追加してください。
注意 : DNS Proxyルールはマネージメント インターフェイスからの通信には適応されません。
例えば、マネージメント インターフェイスからDNS Proxyに定義されているエントリーにPingした場合、DNS Proxyルールは適応されず、DNSサーバーからのエントリーが使用されます。
Not authorized to view the specified document 3522
Blocking Suspicious DNS Queries with DNS Proxy Enabled