動作確認環境
- PA-200
- Version 8.1.19
DNS サーバ(DNS プロキシ)とするための設定方法
Palo Alto ファイアウォールを DNS サーバとして使用する、つまりクライアントから見ると Palo Alto ファイアウォールを DNS サーバとして使用できるようにするための設定方法です。
GUI で設定する場合
[Network → DNS プロキシ] 画面を開き、画面左下の [追加] をクリックします。
以下の設定画面が表示されるため各項目を設定していきます。
- 有効化: チェックを入れます(デフォルト)
- 名前: 任意のプロファイル名を入力します
- 継承ソース: None(デフォルト)
- プライマリ/セカンダリ: プライマリ/セカンダリの DNS フォワード先(Palo Alto が名前解決で使用する DNS サーバ)の IP アドレスを入力します
- インターフェイス: DNS サーバ(DNS プロキシ)を有効化するインターフェースを追加します
続いて [スタティックエントリ] タブを開きます。このタブでは必要に応じてスタティックエントリを登録することができます。画面左下の [追加] からエントリを追加できます。
以下はスタティックエントリ追加画面です。
[詳細] タブでは基本的に設定変更は不要ですがその内容は以下のようになっています。
以上の設定ができたら画面右下の [OK] をクリックして設定完了です。
CLI で設定する場合
以下の構文で設定します。
DNS プロキシの有効化:
set network dns-proxy <名前> enabled <yes|no>- デフォルト: yes
プライマリ/セカンダリ DNS フォワード先 IP:
set network dns-proxy <名前> default <primary|secondary> <IP>
DNSプロキシ有効化の対象インターフェース:
set network dns-proxy <名前> interface <IF名>
スタティックエントリのアドレスとドメイン:
set network dns-proxy <名前> static-entries <エントリ名> address <IP>set network dns-proxy <名前> static-entries <エントリ名> domain <ドメイン>
TCP クエリの有効化:
set network dns-proxy <名前> tcp-queries enabled <yes|no>- デフォルト: no
UDP クエリの再試行間隔と試行回数:
set network dns-proxy <名前> udp-queries retries interval <1-30>- 再試行間隔。デフォルト: 2
set network dns-proxy <名前> udp-queries retries attempts <1-30>- 試行回数。デフォルト: 5
キャッシュの有効化・TTLの有効化・EDNS応答をキャッシュ:
set network dns-proxy <名前> cache enabled <yes|no>- デフォルト: yes
set network dns-proxy <名前> cache max-ttl enabled <yes|no>- デフォルト: no
set network dns-proxy <名前> cache cache-edns <yes|no>- デフォルト: yes
設定例:
set network dns-proxy sample cache max-ttl enabled no
set network dns-proxy sample cache enabled yes
set network dns-proxy sample default primary 192.168.1.10
set network dns-proxy sample tcp-queries enabled no
set network dns-proxy sample static-entries sample_entry address 192.168.123.123
set network dns-proxy sample static-entries sample_entry domain test.sample.com
set network dns-proxy sample interface ethernet1/1
set network dns-proxy sample udp-queries retries interval 2
set network dns-proxy sample udp-queries retries attempts 5DNS サーバ(DNS プロキシ)関連の確認コマンド
設定の確認:
show dns-proxy settings all
admin@MyPaloAlto> show dns-proxy settings all
Details:
Name: sample
Interfaces:
ethernet1/1
Inheritance from:
Default name servers:
10.20.30.100
Status: Enabled
Match Rules:
Global Service Route:
ipv4 : 0.0.0.0
ipv6 : 0:0:0:0:0:0:0:0
Per-vsys Service Route:
ipv4 : 0.0.0.0
ipv6 : 0:0:0:0:0:0:0:0
--------------------------------------キャッシュの確認:
show dns-proxy cache all
admin@MyPaloAlto> show dns-proxy cache all
Name: mgmt-obj
Cache settings:
cache-edns: enabled
entries: 0
Domain IP/Name Type Class TTL Hits
-----------------------------------------------------------------------------------------------------------------------------
Name: sample
Cache settings:
cache-edns: enabled
entries: 1
Domain IP/Name Type Class TTL Hits
-----------------------------------------------------------------------------------------------------------------------------
yahoo.co.jp 183.79.250.251 A IN 286 2
183.79.217.124 A IN
182.22.16.251 A IN
182.22.28.252 A IN
182.22.25.252 A IN
182.22.25.124 A IN
183.79.219.252 A IN
183.79.250.123 A IN統計情報の確認:
show dns-proxy statistics all
admin@MyPaloAlto> show dns-proxy statistics all
Name: sample
Interfaces: ethernet1/1 Counters:
Queries received from hosts:8
Responses returned to hosts:8
Queries forwarded to servers:13
Responses received from servers:7
Pending TCP:0
Pending UDP:0
--------------------------------------留意点
Palo Alto ファイアウォールの DNS プロキシ機能ですが、今回の検証で使用した型番・バージョンでは、以下の理由から実質的には使い物になりませんでした。
- DNS クライアントで DNS クエリをした際に、レスポンスが遅い
- DNS クライアントから、IPv6 アドレスが返されるようなドメインに対して DNS クエリをした場合、名前解決に失敗する
新しいバージョンでは改善されているかもしれませんが、DNS プロキシ機能の使用を検討する場合は事前検証は必須といえます。
コメント