Uso de FQDN comodín

Descripción
Este artículo describe el uso del comodín FQDN.

Enlace relacionado:
https://docs.fortinet.com/document/fortigate/6.2.0/new-features/329154/support-for-wildcard-fqdn-add…

Solución Se ha mejorado
la compatibilidad con direcciones FQDN comodín en la política de firewall. incluido en FortiOS 6.2.2.

Se puede configurar un FQDN comodín desde la GUI o la CLI.

Desde la interfaz gráfica de usuario.

Vaya a Política y objetos -> Direcciones -> Nueva dirección.
En la siguiente captura de pantalla, *.fortinet.com se usa como comodín FQDN.



Desde CLI.

# configurar la dirección del cortafuegos
    editar «fortinet-fqdn»
        establecer uuid 96c22534-8a3b-51ea-ad68-98a463172306
        establecer tipo fqdn
        establecer fqdn «*.fortinet.com»
    siguiente
fin

Se debe definir una política de firewall para usar FQDN comodín.

# configurar la política de cortafuegos
    editar 8
        establecer el nombre «fqdn-policy»
        establecer srcintf «port9»
        establecer dstintf «port1»
        establecer srcaddr «todos»
        establecer dstaddr «fortinet-fqdn»
        establecer acción aceptar
        establecer programación «siempre»
        establecer servicio «TODOS»
        establecer nat habilitar
    el siguiente
final

Cuando se haya configurado el FQDN comodín, se mostrará como FQDN no resuelto en la lista de direcciones del cortafuegos.

En comparación con los FQDN estándar, el FQDN comodín no utiliza la configuración de DNS del sistema ( Red -> DNS ).
El comodín FQDN se actualiza cuando se realiza una consulta de DNS desde un host conectado a FortiGate (tráfico de DNS que pasa a través de FortiGate).
Si la consulta coincide con el FQDN comodín, la dirección IP se agrega a la memoria caché para ese objeto en FortiGate.
El FQDN comodín se actualiza si se realiza una consulta de DNS mediante servidores DNS de FortiGuard, servidores DNS internos o cualquier servidor DNS público.
Si se utilizan servidores DNS internos, el tráfico DNS pasa a través de FortiGate.
Luego, la respuesta de la consulta se completa en el objeto FQDN.
#diagnostique la lista de fqdn del cortafuegos | grep fortinet
*.fortinet.com: ID(48)
Para actualizar el FQDN con direcciones IP, ‘nslookup’ desde un host conectado a un FortiGate resolverá manualmente cada entrada comodín y la lista se completará con nuevas direcciones IP como se muestra a continuación.

Artículos relacionados  Monitor de enlace

Tenga en cuenta que todas las direcciones IP se asignan a ese objeto FQDN comodín por tiempo ilimitado de manera predeterminada.

Si se reinicia FortiGate, todas las direcciones IP deben aprenderse nuevamente.
Si se necesita limitar TTL, es posible desde la CLI, configurable por objeto.
# diagnose la lista de fqdn del cortafuegos | grep fortinet
*.fortinet.com: ID(48) DIRECCIÓN(208.91.113.75) DIRECCIÓN(208.91.113.80) DIRECCIÓN(208.91.113.85) DIRECCIÓN(34.228.249.126) DIRECCIÓN(34.226.137.150) DIRECCIÓN(96.45.36.159)
Algunos de los dominios (por ejemplo, google.com) tienen un TTL muy corto y se resuelven en diferentes IP para diferentes solicitudes para implementar el equilibrio de carga basado en DNS. Eso dará como resultado una discrepancia de la IP resuelta entre FortiGate y el otro host. Una solución al problema es configurar un caché-ttl grande para que la dirección IP se guarde por más tiempo, incluso si su TTL caduca.

# configurar la dirección del cortafuegos
    editar «wildcard.google.com»
        establecer tipo fqdn
        establecer fqdn «*.google.com»
        establecer caché-ttl 86400          < —–
    siguiente
final

A veces sucede que una nueva consulta de DNS reemplazará las entradas existentes aprendidas de FortiGate.
Considere el siguiente ejemplo:

# diagnose la aplicación de prueba dnsproxy 6
vfid=0 name=*.google.com ver=IPv4 min_ttl=37:0, cache_ttl=0 , slot=-1, num=4, wildcard=1
172.217.1.164 (ttl=94:0 :0) 172.217.164.205 (ttl=114:0:0) 172.217.1.14 (ttl=106:0:0) 172.217.164.238 (ttl=37:0:0)

Hacer nslookup para mail.google.com reemplazó las 4 entradas anteriores.

nslookup mail.google.com

> mail.google.com
Servidor: dns.google
Dirección: 8.8.8.8 Respuesta

no autorizada:
Nombre: googlemail.l.google.com
Direcciones: 2607:f8b0:400b:809::2005
172.217. 165.5 Alias
: mail.google.com

# diagnose aplicación de prueba dnsproxy 6
vfid=0 name=*.google.com ver=IPv4 min_ttl=41:0, cache_ttl=0 , slot=-1, num=2, comodín=1
172.217 .1.174 (ttl=255:0:0) 172.217.165.5 (ttl=263:221:221)

Luego, se reemplaza nslookup drive.google.com- IP 172.217.1.174.

> drive.google.com
Servidor: dns.google
Dirección: 8.8.8.8 Respuesta

no autorizada:
Nombre: drive.google.com
Direcciones: 2607:f8b0:400b:800::200e
172.217.164.206

# diagnose aplicación de prueba dnsproxy 6
vfid =0 name=*.google.com ver=IPv4 min_ttl=110:0, cache_ttl=0 , slot=-1, num=2, wildcard=1
172.217.165.5 (ttl=263:85:85) 172.217.164.206 ( ttl=299:275:275)

Las direcciones IP se reemplazan porque ya han caducado.

Artículos relacionados  No hay audio con los teléfonos Panasonic con FortiGate

ttl = 106:0:0 son originales TTL: tiempo de caducidad en TTL: tiempo de caducidad en caché

Los dos últimos son iguales si el caché-ttl no está configurado en la dirección.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *