Vous pouvez configurer votre Firebox pour transférer les requêtes DNS des ordinateurs de votre réseau vers un serveur DNS. Par exemple, vous pouvez utiliser la redirection DNS pour envoyer les requêtes DNS d’une succursale à un serveur DNS distant au siège social.
Vous pouvez activer le transfert de DNS à partir de l’interface Web de Fireware, du gestionnaire de politiques et de la CLI. Vous pouvez également ajouter des règles conditionnelles de transfert de DNS. Ces règles vous permettent d’envoyer des requêtes DNS à différents serveurs DNS en fonction du nom de domaine dans la requête.
La redirection DNS conditionnelle peut entraîner des temps de réponse plus rapides aux requêtes DNS. Si vous disposez de ressources dans le cloud, vos utilisateurs peuvent se connecter à ces ressources plus rapidement, car :
- Certains fournisseurs de services cloud utilisent la géolocalisation pour sélectionner le centre de données auquel vous vous connectez. Lorsque vous vous connectez à un serveur DNS proche de votre emplacement, votre fournisseur de services cloud peut vous connecter à son centre de données le plus proche.
- Le Firebox met en cache les résultats des requêtes DNS.
Dans Fireware v11.12.1 ou inférieur, vous pouvez uniquement activer le transfert DNS à partir de la ligne de commande, et le transfert DNS conditionnel n’est pas pris en charge. Si vous avez activé le transfert DNS avant la mise à niveau vers Fireware v11.12.2, le transfert DNS reste activé, mais la fonctionnalité change, comme décrit dans cette rubrique.
Pour obtenir des instructions sur l’activation du transfert DNS dans Fireware v11.12.1 ou inférieur, consultez la rubrique Comment activer le transfert DNS dans la base de connaissances WatchGuard.
Serveurs DNS sur votre Firebox
Ces serveurs DNS peuvent être configurés sur votre Firebox :
- Serveur DNS réseau – Serveur DNS par défaut pour toutes les interfaces et tous les processus locaux sur le Firebox
- Serveur DNS d’interface – Serveur DNS pour les interfaces que vous spécifiez
- Serveur DNS conditionnel – Serveur DNS pour . les noms de domaine et les interfaces que vous spécifiez dans une règle de transfert DNS
- Serveur DNS obtenu auprès de votre FAI – Lorsque votre Firebox est configuré comme un client DHCP ou un client PPPoE
- Serveur DNSWatch – Serveur DNS lorsque DNSWatch est activé, dans certains cas
Chaque serveur DNS a un objectif différent et est configuré à un endroit différent dans les paramètres du Firebox.
Certains serveurs DNS ont la priorité sur d’autres. Lorsque vous activez une règle de transfert DNS, sachez que :
- Les serveurs DNS conditionnels ont la priorité sur le serveur DNS réseau et les serveurs DNSWatch.
- Le serveur DNS d’interface a la priorité sur le serveur DNS conditionnel.
Pour plus d’informations sur la priorité des serveurs DNS, consultez la section À propos du DNS sur le Firebox.
Comment ça marche
Vous pouvez activer le transfert DNS, et le transfert DNS conditionnel, dans ces modes réseau :
- Mode de routage mixte
- Mode de dépôt
- Mode pont
Lorsque vous activez le transfert DNS :
- Vous devez sélectionner une ou plusieurs interfaces de confiance, optionnelles ou personnalisées pour participer au transfert DNS.
- Les processus locaux du Firebox utilisent le Firebox comme serveur DNS.
- Le Firebox met en cache les résultats des requêtes DNS (jusqu’à 10 000 entrées).
- Si vous n’ajoutez pas de règles de transfert DNS conditionnelles, les requêtes DNS envoyées à l’adresse IP locale du Firebox sont transférées au serveur DNS du réseau que vous avez spécifié. Le Firebox met en cache les résultats de ces requêtes.
- Si vous configurez le Firebox pour qu’il soit un serveur DHCP, les clients DHCP de votre réseau utilisent automatiquement l’adresse IP de l’interface comme serveur DNS, sauf si vous spécifiez un serveur DNS dans les paramètres du serveur DHCP.
- Le trafic DNS envoyé à partir des interfaces configurées pour le transfert DNS vers le Firebox est autorisé. La politique DNS et la politique de proxy DNS s’appliquent uniquement au trafic DNS de passage.
- Si vous configurez une interface Firebox pour être un serveur DHCP, et que l’interface est configurée pour le transfert DNS :
- Si vous ne spécifiez pas de serveur DNS dans les paramètres DHCP, le serveur DHCP donne automatiquement l’adresse IP de l’interface Firebox comme serveur DNS. Le transfert DNS se produit.
- Si vous spécifiez un serveur DNS autre que l’adresse IP de l’interface Firebox dans les paramètres DHCP, le serveur DHCP donne automatiquement l’adresse IP du serveur DNS que vous avez spécifié. Le transfert de DNS ne se produit pas.
Le Firebox peut traiter jusqu’à 10 000 requêtes DNS en même temps.
Si vous activez la journalisation pour le transfert de DNS, le Firebox à génère un message de journal lorsque le transfert de DNS se produit.
Si vous avez une connexion d’interface virtuelle BOVPN entre les sites, et que vous configurez le transfert de DNS, vous devez ajouter une adresse IP d’interface virtuelle dans les paramètres d’interface virtuelle BOVPN pour que le transfert de DNS fonctionne à travers le VPN. L’adresse IP de l’interface virtuelle est nécessaire car le serveur DNS doit acheminer le trafic vers cette adresse IP. Pour plus d’informations sur les adresses IP d’interface virtuelle, consultez la section Configuration des adresses IP d’interface virtuelle BOVPN.
Dans Fireware v12.4 ou supérieur, vous pouvez activer DNSWatch en mode pont. Pour que le Firebox puisse résoudre les noms d’hôte sur les domaines locaux, vous devez créer des règles de transfert DNS pour les domaines locaux qui spécifient les serveurs DNS locaux.
Transfert DNS conditionnel
Vous pouvez ajouter des règles de transfert DNS conditionnel. Lorsque vous ajoutez une règle de transfert, le Firebox utilise les informations mises en cache pour répondre à une requête DNS, ou bien il transmet la requête à un serveur DNS spécifié dans la règle.
Par exemple, sur une Firebox de succursale qui dispose d’une connexion VPN au siège, vous pouvez configurer les paramètres DNS pour :
- Transférer les requêtes DNS pour le domaine interne exemple.com à travers le VPN vers le serveur DNS du siège.
- Transférer toutes les autres requêtes DNS vers un serveur DNS public qui est physiquement plus proche de la succursale.
Configuration
Lorsque vous activez le transfert DNS conditionnel sur votre Firebox, vous pouvez ajouter des règles de transfert DNS. Pour chaque règle de transfert DNS, vous spécifiez ces paramètres :
Nom de domaine
Ajouter un ou plusieurs noms de domaine. Il n’y a pas de limite au nombre de noms de domaine que vous pouvez spécifier. Les noms de domaine plus spécifiques ont la priorité. L’ordre des noms de domaine n’a pas d’importance.
Serveur DNS
Spécifier un serveur DNS. Les requêtes pour le nom de domaine que vous avez ajouté sont envoyées au serveur DNS que vous spécifiez. Vous pouvez ajouter jusqu’à quatre serveurs DNS pour chaque nom de domaine. Le Firebox contacte le premier serveur DNS de la liste, et contacte les autres serveurs DNS selon les besoins.
Exemple
Dans cet exemple, une succursale a un Firebox configuré comme serveur DHCP. Un serveur DNS d’interface n’est pas spécifié dans les paramètres du serveur DHCP. Le serveur DNS interne se trouve sur le réseau du bureau central. Sur la Firebox de la succursale, une règle de transfert DNS conditionnelle envoie les requêtes pour example.com au serveur DNS du siège. Toutes les autres requêtes DNS sont envoyées au serveur DNS du réseau spécifié sur le Firebox.
Comment cela fonctionne :
- A la succursale, un client DHCP sur le réseau envoie une requête DNS pour le nom de domaine exemple.com.
- Le Firebox reçoit la requête et examine son cache DNS.
- Si le cache ne contient pas d’entrée pour exemple.com, le Firebox examine sa liste de transfert DNS.
- Si exemple.com est inclus dans la liste de transfert DNS, le Firebox transmet la requête au serveur DNS spécifié pour ce nom de domaine.
Dans notre exemple, la requête est transmise au serveur DNS distant du siège social, 10.50.1.253. - Si exemple.com n’est pas inclus dans la liste de transfert DNS, le Firebox transmet la requête DNS au serveur DNS du réseau, qui est 4.2.2.1 dans notre exemple.
Ces images montrent les paramètres de DNS réseau et de transfert de DNS pour notre exemple :
Paramètres de transfert de DNS dans l’interface utilisateur Web
Paramètres de transfert de DNS dans Policy Manager
Dans Fireware v12.6.4 ou supérieur, vous pouvez désactiver le cache DNS. Pour plus d’informations, consultez la section À propos du DNS sur le Firebox.
Voir aussi
Configurer les serveurs DNS et WINS du réseau
Configurer les serveurs DNS et WINS pour le VPN mobile avec IPSec
À propos du DNS sur le Firebox
À propos de WatchGuard DNSWatch
.