[KB-DNS] Cấu hình DNS Rewrite trên Palo Alto
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
DNS Rewrite (hay DNS Doctoring) là tính năng thuộc Destination NAT trên Firewall Palo Alto tính năng này cho phép sửa lại thông tin DNS phù hợp với yêu cầu hệ thống (thường cấu hình chung với U-Turn NAT) vì khi phản hồi DNS chứa địa chỉ IP (Web server) đi qua tường lửa để đến client, tường lửa không thực hiện NAT trên địa chỉ IP đó, do đó DNS server cung cấp địa chỉ IP nội bộ cho thiết bị bên ngoài hoặc ngược lại, dẫn đến DNS client không thể kết nối với dịch vụ được NAT. DNS Rewrite được chia làm 2 loại:
- reverse: nếu phản hồi DNS khớp với địa chỉ đích trong tab Translated Packet của NAT rule thì lúc này địa chỉ trong DNS response sẽ ngược lại với cấu hình DNAT có nghĩa nếu cấu hình DNAT để chuyển ip public 10.120.190.51 thành ip private 172.16.10.100 (Web server) thì trong gói tin DNS response giá trị sẽ được chuyển từ IP 172.16.10.100 thành 10.120.190.51. (được sử dụng khi DNS client và web server khác subnet và khác zone nhau)
- forward: nếu phản hồi DNS khớp với địa chỉ đích trong tab Original Packet của NAT rule thì lúc này địa chỉ trong DNS response sẽ cùng chung với cấu hình DNAT có nghĩa nếu cấu hình DNAT để chuyển ip public 10.120.190.51 thành ip private 172.16.10.100 (Web server) thì trong gói tin DNS response giá trị sẽ được chuyển từ IP 10.120.190.51 thành 172.16.10.100. (được sử dụng khi DNS client và web server cùng subnet và cùng zone)
- Outside network: 10.120.190.0/24
- User network: 172.16.198.0/24 và 172.16.199.0/24
- WEB server: 172.16.10.100 (Public IP 10.120.190.51)
- DNS server local: 172.16.100.100
- DNS server public: 10.120.100.202
- erver network: 172.16.100.0/24 và 172.16.10.0/24
Trước khi cấu hình DNS rewrite các user public cấu hình DNS server public (10.120.100.202) có thể truy cập DNS của Web server (bằng ip public 10.120.190.51)
Nhưng đối với các user local khi truy cập Web server thông qua DNS sẽ chỉ truy được thông qua IP private của Web server do trên user local sử dụng DNS server local (172.16.100.100) nên khi phân giải DNS web server sẽ trả lại ip private của web server (172.16.10.100).
Sau khi cấu hình DNS rewirte trong trường hợp này Web server và user local khác subnet và khác zone nên sẽ sử dụng DNS rewirte reverse và U-Turn NAT như hình bên dưới.
Lúc này kiểm tra lại trên user local sẽ thấy được DNS truy cập Web server sẽ được chuyển sang IP public mặc dù DNS record được cấu hình trên DNS server local (172.16.100.100) là ip private của web server (172.16.10.100)
![[KB-NAT] Cấu hình U-Turn NAT trên Palo Alto](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)