DNS translation nasıl debug alınır

DNS çeviri özelliği, belirli bir güvenlik duvarı politikasında uygulanan bir DNS filtre profili ile çözülmüş DNS IP adreslerini dahili IP adreslerine çevirmek için uygulanabilir.

Bu senaryoda, dahili ağ kullanıcıları www.example.com için bir DNS sorgusu gerçekleştirir ve orijinal www.example.com IP adresi olan 93.184.216.34′ü almazlar. Bunun yerine 192.168.3.4 ile değiştirilir.

DNS çevirisi için bir DNS Filtresi profili oluşturmak için:

config dnsfilter profile
edit "DNS_Rewrite"
config dns-translation
edit 1
set src 93.184.216.34
set dst 192.168.3.4
next

DNS filtre profilini güvenlik duvarı politikasına uygulayın:

config firewall policy
edit 1
set name "All_Internet"
set srcintf "port3"
set dstintf "virtual-wan-link"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ALL"
set utm-status enable
set ssl-ssh-profile "certificate-inspection"
set dnsfilter-profile "DNS_Rewrite" <-----
set logtraffic all
set nat enable
next

Bir Çalışan ve çalışmayan senaryolarda DNS çeviri trafiğini doğrulamak için DNS proxy hata ayıklama komutu.

diag debug app dnsproxy 255
diag debug en

Çalışan hata ayıklama çıktıları:

[worker 0] udp_receive_redirect()-3133: vd=0, vrf=0, intf=5, len=35, alen=16, 10.129.2.76:59943=>8.8.8.8
[worker 0] handle_dns_request()-2338: vfid=0 real_vfid=0 id=0x0016 pktlen=35 qr=0 req_type=2
[worker 0] dns_parse_message()-603
[worker 0] dns_policy_find_by_idx()-2650: vfid=0 idx=1
[worker 0] dns_secure_log_request()-1114: id:0x0016 pktlen=35 profile=default ifindex=5
[worker 0] dns_policy_find_by_idx()-2650: vfid=0 idx=1
[worker 0] dns_secure_log_request()-1194: log'a yaz: qname=wwww.example.com qtype=1
[worker 0] dns_profile_do_url_rating()-1943: vfid=0 profile=default category=255 domain=wwww.example.com
[worker 0] botnet_domain_search()-2121: domain=wwww.example.com botnet kontrolünden geçti
[worker 0] dns_profile_do_url_rating()-2051: istek filtresi sonucu için wwww.example.com (type=0 action=9)
[worker 0] dns_rating_cache_check()-575: domain=wwww.example.com
[worker 0] dns_rating_cache_check()-585: cached category=39 bulundu
[worker 0] dns_send_cached_response()-1642: domain=wwww.example.com
[worker 0] dns_query_save_response()-2557: domain=wwww.example.com pktlen=80
[worker 0] dns_adjust_ttl_values()-139
[worker 0] dns_adjust_ttl_values()-142: 1. RR'nin Ofseti: 35
[worker 0] dns_adjust_ttl_values()-144: RR Sayısı: 2
[worker 0] dns_adjust_ttl_values()-155: Yeni ttl: 7542
[worker 0] dns_adjust_ttl_values()-155: Yeni ttl: 327
[worker 0] dns_forward_response()-1617
[worker 0] dns_secure_forward_response()-1573: category=39 profile=default
[worker 0] dns_profile_do_url_rating()-1943: vfid=0 profile=default category=39 domain=wwww.example.com <<<
[worker 0] dns_answer_is_blocked()-1683: çevrilmiş yanıt ip=93.184.216.34 ila 192.168.3.5 (id=6) <<<
[worker 0] dns_profile_do_url_rating()-2051: wwww.example.com için yanıt filtresi sonucu (type=6 action=9) <<<

Çalışmayan hata ayıklama çıktıları:

[worker 0] udp_receive_redirect()-3133: vd=0, vrf=0, intf=5, len=33, alen=16, 10.129.2.76:57225=>8.8.8.8
[worker 0] handle_dns_request()-2338: vfid=0 real_vfid=0 id=0x000c pktlen=33 qr=0 req_type=2
[worker 0] dns_parse_message()-603
[worker 0] dns_policy_find_by_idx()-2650: vfid=0 idx=1
[worker 0] dns_secure_log_request()-1114: id:0x000c pktlen=33 profile=varsayılan ifindex=5
[worker 0] dns_policy_find_by_idx()-2650: vfid=0 idx=1
[worker 0] dns_secure_log_request()-1194: günlüğe yaz: qname=www.example.com qtype=1
[worker 0] dns_profile_do_url_rating()-1943: vfid=0 profile=varsayılan kategori=255 etki alanı=www.example.com
[worker 0] botnet_domain_search()-2121: domain=www.example.com botnet kontrolünden geçti
[worker 0] dns_profile_do_url_rating()-2051: www.example.com için istek filtresi sonucu (type=0 action=9)
[worker 0] dns_rating_cache_check()-575: domain=www.example.com
[worker 0] dns_query_profile_check()-2148: SDNS sunucusu bulunamadı (domain=www.example.com) <<<
[worker 0] dns_secure_apply_action()-2067: action=3 category=255 log=0 error_allow=0 profile=default <<<
[worker 0] dns_secure_answer_redir()-1571
[worker 0] dns_secure_answer_redir()-1616: redir ip belirtilmemiş
[worker 0] dns_send_error_response()-1712: domain=www.example.com err=2

Hata ayıklama çıktısı gösterildiği gibi, FortiGate ile SDNS sunucusu arasındaki bağlantıyı kontrol etmek gerekir.

Not:

v7.0.x’ten itibaren DNS çevirisi için hata ayıklamalar IPS hata ayıklamasına taşındı, bu nedenle IPS hata ayıklamalarını aşağıdaki gibi çalıştırmanız gerekir. Güvenlik Duvarı politikasının bir IPS motorunda çalıştığı için akış modunda olduğundan emin olun.

dia ips debug enable dns
dia ips filter set 'src <src-IP@>'
dia de console time enable
dia debug enable

Örnek Çıktı:

[3482@8]ips_run_session_verdict_check: serial=5807 session is ACTIVE
[3482@8]ips_dsct_session_loop: serial=5807 only: dns_udp
[3482@8]dns_dissector: İşlem Kodu: 0 flags 0x8180
[3482@8]dissect_query_records: dns request: name example.com, type 1, class 0x

6 total views, 6 views today