Palo Alto

Palo Alto Firewall: FQDN als CNAME im Regelwerk nutzen

Es gibt Probleme, wenn in den Adressen ein FQDN genutzt wird, der jedoch auf ein CNAME zeigt. Dann wird er nicht aufgelöst. Beispiel: alter Name host.mydomain.de wurde als FQDN angelegt. Nun wurde der Dienst des Servers auf einen anderen Server umgezogen. Das passierte indem man einen CNAME auf www.mydomain.de angelegt hatte host.mydomain.de. CNAME newhost.mydomain.de Plötzlich war der Dienst nicht über die 1,1,1,1 sondern über die 2.2.2.2 erreichbar. Die Policy hat nicht mehr funktioniert. Die Palo Alto kann scheinbar mit einem CNAME bei der Auflösung nichts anfangen und zeigt bei der Auflistung der FQDNs ein „Not Resolved“ an: newhost.mydomain.de  (Objectname newhost.mydomain.de):                     Not resolved    

Palo Alto: FTP Server trotz Policy in der DMZ erreichbar

Frage: FTP Server ist trotz Policy in der DMZ erreichbar. Es gibt keine ALLOW Policy von UNTRUST zu DMZ. Es gibt eine DENY Policy von UNTRUST zu DMZ. Wenn der Server kontaktiert wird, wird der 3er-Handshake aufgebaut und es kommt der Prompt zur Eingabe des Benutzernamens: C:\Users\XXX>ftp ftp.abcd.net Connected to colo-ftp2.abcd.net. 220 (vsFTPd 2.0.6) User (colo-ftp2.abcd.net:(none)): anonymous Connection closed by remote host. >>>>>>>>>>>>>>>>>>>>> Connection closed after the login prompt. Lösung/Hintergrund: Die ersten 3 Pakete plus das erste danach werden für die App Erkennung genutzt. Nun ist es nicht so richtig schön …