Server Firebox můžete nakonfigurovat tak, aby předával dotazy DNS z počítačů v síti na server DNS. Pomocí předávání DNS můžete například odesílat dotazy DNS z pobočky na vzdálený server DNS v centrále.
Přesměrování DNS můžete povolit z webového rozhraní Fireware, Správce zásad a z rozhraní CLI. Můžete také přidat podmíněná pravidla pro předávání DNS. Tato pravidla umožňují odesílat dotazy DNS na různé servery DNS na základě názvu domény v dotazu.
Podmíněné předávání DNS může vést k rychlejší odezvě na dotazy DNS. Pokud máte prostředky v cloudu, mohou se vaši uživatelé k těmto prostředkům připojit rychleji, protože:
- Někteří poskytovatelé cloudových služeb používají geolokaci k výběru datového centra, ke kterému se připojíte. Když se připojíte k serveru DNS blízko vaší polohy, poskytovatel cloudových služeb vás může připojit ke svému nejbližšímu datovému centru.
- Firebox ukládá výsledky dotazů DNS do mezipaměti.
V softwaru Fireware v11.12.1 nebo nižších verzích lze předávání DNS povolit pouze z příkazového řádku a podmíněné předávání DNS není podporováno. Pokud jste před aktualizací na verzi Fireware v11.12.2 povolili předávání DNS, zůstane předávání DNS povoleno, ale změní se jeho funkce, jak je popsáno v tomto tématu.
Pokyny pro povolení předávání DNS ve Fireware v11.12.1 nebo nižší verzi naleznete v části Jak povolit předávání DNS ve znalostní databázi WatchGuard.
Servery DNS ve vašem Fireboxu
Ve vašem Fireboxu mohou být nakonfigurovány tyto servery DNS:
- Síťový server DNS – výchozí server DNS pro všechna rozhraní a místní procesy na Fireboxu
- Server DNS rozhraní – server DNS pro rozhraní, která jste zadali
- Podmíněný server DNS – server DNS pro doménové názvy a rozhraní, které zadáte v pravidle předávání DNS
- DNS server získaný od poskytovatele internetového připojení – Pokud je Firebox nakonfigurován jako DHCP klient nebo PPPoE klient
- DNSWatch server – DNS server, pokud je povolena služba DNSWatch, v některých případech
Každý server DNS má jiný účel a je nakonfigurován na jiném místě v nastavení Fireboxu.
Některé servery DNS mají přednost před ostatními. Když povolíte pravidlo DNS Forwarding, mějte na paměti, že:
- Podmíněné servery DNS mají přednost před síťovým serverem DNS a servery DNSWatch.
- Server DNS rozhraní má přednost před podmíněným serverem DNS.
Další informace o přednosti serverů DNS naleznete v části O systému DNS v zařízení Firebox.
Jak to funguje
V těchto síťových režimech můžete povolit předávání DNS a podmíněné předávání DNS:
- Režim smíšeného směrování
- Režim Drop-in
- Režim Bridge
Když povolíte předávání DNS:
- Pro účast v předávání DNS musíte vybrat jedno nebo více důvěryhodných, volitelných nebo vlastních rozhraní.
- Místní procesy ve Fireboxu používají Firebox jako server DNS.
- Firebox ukládá výsledky dotazů DNS do mezipaměti (až 10 000 záznamů).
- Pokud nepřidáte podmíněná pravidla pro předávání DNS, budou dotazy DNS zaslané na místní IP adresu Fireboxu předány na zadaný síťový server DNS. Firebox ukládá výsledky těchto dotazů do mezipaměti.
- Jestliže nakonfigurujete Firebox jako server DHCP, klienti DHCP v síti automaticky použijí IP adresu rozhraní jako server DNS, pokud v nastavení serveru DHCP nezadáte server DNS.
- Přenosy DNS odesílané z rozhraní nakonfigurovaných pro předávání DNS do Fireboxu jsou povoleny. Zásady DNS a zásady proxy serveru DNS se vztahují pouze na průchozí přenosy DNS.
- Pokud nakonfigurujete rozhraní Fireboxu jako server DHCP a rozhraní je nakonfigurováno pro předávání DNS:
- Pokud v nastavení DHCP nezadáte server DNS, server DHCP automaticky zadá IP adresu rozhraní Fireboxu jako server DNS. Dochází k předávání DNS.
- Pokud v nastavení DHCP zadáte jiný server DNS než IP adresu rozhraní Firebox, server DHCP automaticky uvede IP adresu zadaného serveru DNS. K předávání DNS nedochází.
Firebox může zpracovat až 10 000 požadavků DNS najednou.
Pokud povolíte protokolování pro předávání DNS, Firebox vygeneruje zprávu protokolu, když dojde k předávání DNS.
Pokud máte připojení virtuálního rozhraní BOVPN mezi lokalitami a nakonfigurujete předávání DNS, musíte v nastavení virtuálního rozhraní BOVPN přidat IP adresu virtuálního rozhraní, aby předávání DNS fungovalo přes VPN. IP adresa virtuálního rozhraní je nutná, protože server DNS musí směrovat provoz zpět na tuto IP adresu. Další informace o IP adresách virtuálního rozhraní naleznete v části Konfigurace IP adres virtuálního rozhraní BOVPN.
V softwaru Fireware v12.4 nebo vyšším můžete povolit službu DNSWatch v režimu Bridge. Aby mohl Firebox překládat názvy hostitelů v místních doménách, musíte vytvořit pravidla předávání DNS pro místní domény, která určují místní servery DNS.
Podmíněné předávání DNS
Můžete přidat podmíněná pravidla předávání DNS. Po přidání pravidla předávání použije Firebox k odpovědi na dotaz DNS informace z mezipaměti nebo předá dotaz na server DNS uvedený v pravidle.
Například ve Fireboxu na pobočce, který má připojení VPN do centrály, můžete nakonfigurovat nastavení DNS takto:
- Přesměrování dotazů DNS pro interní doménu example.com přes VPN na server DNS v centrále.
- Přesměrování všech ostatních dotazů DNS na veřejný server DNS, který je fyzicky blíže pobočce.
Konfigurace
Pokud ve Fireboxu povolíte podmíněné přesměrování DNS, můžete přidat pravidla pro přesměrování DNS. Pro každé pravidlo přesměrování DNS určete tato nastavení:
Název domény
Přidejte jeden nebo více názvů domén. Počet doménových jmen, která můžete zadat, není omezen. Konkrétnější názvy domén mají přednost. Na pořadí názvů domén nezáleží.
Server DNS
Zadejte server DNS. Dotazy na přidaný název domény jsou odesílány na zadaný server DNS. Pro každý název domény můžete přidat až čtyři servery DNS. Firebox kontaktuje první server DNS v seznamu a podle potřeby kontaktuje další servery DNS.
Příklad
V tomto příkladu má pobočka Firebox nakonfigurovaný jako server DHCP. V nastavení serveru DHCP není zadán server DNS rozhraní. Interní server DNS je v síti v centrále. Na Fireboxu v pobočce posílá podmíněné pravidlo předávání DNS dotazy na adresu example.com na server DNS v centrále. Všechny ostatní dotazy DNS jsou odesílány na síťový server DNS zadaný ve Fireboxu.
Jak to funguje:
- V pobočce odešle klient DHCP v síti dotaz DNS na název domény example.com.
- Firebox dotaz přijme a prozkoumá svou mezipaměť DNS.
- Pokud mezipaměť neobsahuje záznam pro example.com, zařízení Firebox prozkoumá svůj seznam předávání DNS.
- Je-li example.com v seznamu předávání DNS obsažen, zařízení Firebox předá dotaz serveru DNS určenému pro tento název domény.
V našem příkladu je dotaz předán na vzdálený server DNS v centrále, 10.50.1.253. - Pokud není example.com zahrnut v seznamu DNS Forwarding, předá Firebox dotaz DNS na síťový server DNS, což je v našem příkladu 4.2.2.1.
Tyto obrázky ukazují nastavení síťového DNS a předávání DNS pro náš příklad:
Nastavení předávání DNS ve webovém uživatelském rozhraní
Nastavení předávání DNS ve Správci zásad
V softwaru Fireware v12.6.4 nebo vyšším můžete vypnout mezipaměť DNS. Další informace naleznete v části O DNS ve Fireboxu
Viz také
Konfigurace síťových serverů DNS a WINS
Konfigurace serverů DNS a WINS pro mobilní VPN s IPSec
O DNS ve Fireboxu
O WatchGuard DNSWatch
.