FQDN Archive - krakovic.de

Palo Alto Firewall: FQDN als CNAME im Regelwerk nutzen

Es gibt Probleme, wenn in den Adressen ein FQDN genutzt wird, der jedoch auf ein CNAME zeigt. Dann wird er nicht aufgelöst. Beispiel: alter Name host.mydomain.de wurde als FQDN angelegt. Nun wurde der Dienst des Servers auf einen anderen Server umgezogen. Das passierte indem man einen CNAME auf www.mydomain.de angelegt hatte host.mydomain.de. CNAME newhost.mydomain.de Plötzlich war der Dienst nicht über die 1,1,1,1 sondern über die 2.2.2.2 erreichbar. Die Policy hat nicht mehr funktioniert. Die Palo Alto kann scheinbar mit einem CNAME bei der Auflösung nichts anfangen und zeigt bei der Auflistung der FQDNs ein „Not Resolved“ an: newhost.mydomain.de (Objectname newhost.mydomain.de): Not resolved

Palo Alto Firewall: FQDNs refreshen

Wenn im Policy Regelwerk nicht IPs sondern FQDNs genutzt werden, ist es wichtig zu wissen, wann / wie oft sich der Firewall die aktuelle „Übersetzung“ in IPs „besorgt“/refresht. Dazu muss man die Konsole bemühen. FQDN refresh timer: – Default ist 30 Minuten – Mit diesem Befehl kann man den Timer definieren: > configure # set deviceconfig system fqdn-refresh-time <1800-14399> # request system fqdn refresh admin@PA1(active-primary)# set deviceconfig system … + fqdn-forcerefresh-time Seconds for Periodic Timer to force refresh FQDN object entries + fqdn-refresh-time Seconds for Periodic Timer to refresh expired FQDN object entries Die aktuelle FQDN Übersetzung gibt es unter: – request system fqdn show admin@PA1(active-primary)> request system fqdn show FQDN Table : Last Request time Mon Apr 7 12:57:53 …