By : admin

A Fireboxot úgy konfigurálhatja, hogy a hálózaton lévő számítógépek DNS-lekérdezéseit továbbítsa egy DNS-kiszolgálóra. A DNS-továbbítással például DNS-lekérdezéseket küldhet egy fiókirodából egy távoli DNS-kiszolgálóra a központban.

A DNS-továbbítást a Fireware Web UI, a Policy Manager és a CLI segítségével engedélyezheti. Feltételes DNS-továbbítási szabályokat is hozzáadhat. Ezek a szabályok lehetővé teszik, hogy a DNS-lekérdezéseket különböző DNS-kiszolgálókra küldje a lekérdezésben szereplő tartománynév alapján.

A feltételes DNS-továbbítás gyorsabb válaszidőt eredményezhet a DNS-lekérdezésekre. Ha vannak erőforrásai a felhőben, a felhasználók gyorsabban csatlakozhatnak ezekhez az erőforrásokhoz, mivel:

  • Néhány felhőszolgáltató a földrajzi elhelyezkedés segítségével választja ki, hogy melyik adatközponthoz csatlakozzon. Ha egy, a tartózkodási helyéhez közeli DNS-kiszolgálóhoz csatlakozik, a felhőszolgáltató a legközelebbi adatközpontjához tud csatlakozni.
  • A Firebox gyorsítótárba helyezi a DNS-lekérdezések eredményeit.

A Fireware v11.12.1 vagy alacsonyabb verzióiban a DNS-továbbítás csak parancssorból engedélyezhető, és a feltételes DNS-továbbítás nem támogatott. Ha a Fireware v11.12.2 verzióra történő frissítés előtt engedélyezte a DNS-továbbítást, a DNS-továbbítás továbbra is engedélyezve marad, de a funkció megváltozik, ahogyan az ebben a témakörben le van írva.
A DNS-továbbítás Fireware v11.12.1 vagy alacsonyabb verzióban történő engedélyezéséhez lásd: Hogyan engedélyezzük a DNS-továbbítást a WatchGuard tudásbázisban.

DNS-kiszolgálók a Fireboxon

Ezek a DNS-kiszolgálók lehetnek konfigurálva a Fireboxon:

  • Network DNS szerver – Alapértelmezett DNS szerver a Firebox összes interfészéhez és helyi folyamatához
  • Interfész DNS szerver – DNS szerver az Ön által megadott interfészekhez
  • Conditional DNS szerver – DNS szerver az alábbiakhoz. a DNS-továbbítási szabályban megadott tartománynevek és interfészek számára
  • Az internetszolgáltatótól kapott DNS-kiszolgáló – Ha a Firebox DHCP-ügyfélként vagy PPPoE-ügyfélként van konfigurálva
  • DNSWatch-kiszolgáló – DNS-kiszolgáló, ha a DNSWatch engedélyezve van, bizonyos esetekben

Minden DNS-kiszolgálónak más-más célja van, és más-más helyen van konfigurálva a Firebox beállításaiban.

Egyes DNS-kiszolgálók elsőbbséget élveznek másokkal szemben. Amikor engedélyez egy DNS-továbbítási szabályt, vegye figyelembe, hogy:

  • A feltételes DNS-kiszolgálók elsőbbséget élveznek a hálózati DNS-kiszolgálóval és a DNSWatch-kiszolgálókkal szemben.
  • Az interfész DNS-kiszolgáló elsőbbséget élvez a feltételes DNS-kiszolgálóval szemben.

A DNS-kiszolgálók elsőbbségéről további információt a A Firebox DNS-ről című fejezetben talál.

Hogyan működik

A DNS-továbbítást és a feltételes DNS-továbbítást ezekben a hálózati módokban engedélyezheti:

  • Mixed routing mode
  • Drop-in mode
  • Bridge mode

A DNS-továbbítás engedélyezésekor:

  • Ki kell választania egy vagy több Trusted, Optional vagy Custom interfészt a DNS-továbbításban való részvételhez.
  • A Firebox helyi folyamatai a Fireboxot használják DNS-kiszolgálóként.
  • A Firebox gyorsítótárba helyezi a DNS-lekérdezések eredményeit (legfeljebb 10 000 bejegyzés).
  • Ha nem ad hozzá feltételes DNS-továbbítási szabályokat, a Firebox helyi IP-címére küldött DNS-lekérdezéseket a Firebox a megadott hálózati DNS-kiszolgálóra továbbítja. A Firebox a lekérdezések eredményeit gyorsítótárba helyezi.
  • Ha a Fireboxot DHCP-kiszolgálónak konfigurálja, a hálózat DHCP-ügyfelei automatikusan az interfész IP-címét használják DNS-kiszolgálóként, hacsak a DHCP-kiszolgáló beállításaiban nem ad meg DNS-kiszolgálót.
  • A DNS-továbbításra konfigurált interfészekről a Fireboxra küldött DNS-forgalom engedélyezett. A DNS-házirend és a DNS-proxyházirend csak az áthaladó DNS-forgalomra vonatkozik.
  • Ha egy Firebox-interfész DHCP-kiszolgálónak van beállítva, és az interfész DNS-továbbításra van konfigurálva:
    • Ha nem ad meg DNS-kiszolgálót a DHCP-beállításokban, a DHCP-kiszolgáló automatikusan a Firebox-interfész IP-címét adja meg DNS-kiszolgálóként. A DNS-továbbítás megtörténik.
    • Ha a DHCP-beállításokban a Firebox-interfész IP-címétől eltérő DNS-kiszolgálót ad meg, a DHCP-kiszolgáló automatikusan a megadott DNS-kiszolgáló IP-címét adja meg. DNS-továbbítás nem történik.

A Firebox egyszerre legfeljebb 10 000 DNS-kérést képes feldolgozni.

Ha engedélyezi a DNS-továbbítás naplózását, a Firebox naplóüzenetet generál, amikor DNS-továbbítás történik.

Ha van egy BOVPN virtuális interfész kapcsolat a telephelyek között, és DNS-továbbítást konfigurál, a BOVPN virtuális interfész beállításaiban hozzá kell adnia egy virtuális interfész IP-címet, hogy a DNS-továbbítás működjön a VPN-en keresztül. A virtuális interfész IP-címére azért van szükség, mert a DNS-kiszolgálónak a forgalmat erre az IP-címre kell visszairányítania. A virtuális interfész IP-címekről további információkat a BOVPN virtuális interfész IP-címek konfigurálása című témakörben talál.

A Fireware v12.4 vagy újabb verziójában engedélyezheti a DNSWatch-ot híd üzemmódban. Ahhoz, hogy a Firebox feloldja a helyi tartományok állomásneveit, DNS-továbbítási szabályokat kell létrehoznia a helyi tartományokhoz, amelyek megadják a helyi DNS-kiszolgálókat.

Feltételes DNS-továbbítás

Feltételes DNS-továbbítási szabályokat adhat hozzá. Amikor továbbítási szabályt ad hozzá, a Firebox a gyorsítótárazott információkat használja a DNS-lekérdezésre adott válaszhoz, vagy továbbítja a lekérdezést a szabályban megadott DNS-kiszolgálóra.

Egy fiókirodai Fireboxon például, amely VPN-kapcsolattal rendelkezik a központhoz, a DNS-beállításokat úgy konfigurálhatja, hogy:

  • A example.com belső tartományra vonatkozó DNS-lekérdezéseket a VPN-en keresztül a központ DNS-kiszolgálójára továbbítsa.
  • A többi DNS-lekérdezés továbbítása egy olyan nyilvános DNS-kiszolgálóra, amely fizikailag közelebb van a fiókirodához.

Konfiguráció

Ha engedélyezi a feltételes DNS-továbbítást a Fireboxon, DNS-továbbítási szabályokat adhat hozzá. Minden egyes DNS-továbbítási szabályhoz ezeket a beállításokat adja meg:

Tartománynév

Adjon meg egy vagy több tartománynevet. A megadható tartománynevek száma nincs korlátozva. A specifikusabb tartománynevek elsőbbséget élveznek. A tartománynevek sorrendje nem számít.

DNS-kiszolgáló

Megad egy DNS-kiszolgálót. A hozzáadott tartománynévre vonatkozó lekérdezéseket a rendszer a megadott DNS-kiszolgálóra küldi. Minden tartománynévhez legfeljebb négy DNS-kiszolgálót adhat hozzá. A Firebox kapcsolatba lép a lista első DNS-kiszolgálójával, és szükség szerint lép kapcsolatba a többi DNS-kiszolgálóval.

Példa

Ebben a példában egy fiókirodában a Firebox DHCP-kiszolgálóként van konfigurálva. A DHCP-kiszolgáló beállításaiban nincs megadva interfész DNS-kiszolgáló. A belső DNS-kiszolgáló a központi iroda hálózatán található. A fiókiroda Fireboxán egy feltételes DNS-továbbítási szabály a example.com címre vonatkozó lekérdezéseket a központ DNS-kiszolgálójára küldi. Az összes többi DNS-lekérdezés a Fireboxon megadott hálózati DNS-kiszolgálóra érkezik.

Hogyan működik:

  1. A fiókirodában egy DHCP-ügyfél a hálózaton DNS-lekérdezést küld a example.com tartománynévre.
  2. A Firebox fogadja a lekérdezést és megvizsgálja a DNS gyorsítótárát.
  3. Ha a gyorsítótár nem tartalmaz bejegyzést a example.com címre, a Firebox megvizsgálja a DNS-továbbítási listáját.
  4. Ha a example.com szerepel a DNS-továbbítási listán, a Firebox továbbítja a lekérdezést a tartománynévhez megadott DNS-kiszolgálónak.
    Példánkban a lekérdezés a központban lévő távoli DNS-kiszolgálóra, a 10.50.1.253-ra kerül továbbításra.
  5. Ha a example.com nem szerepel a DNS-továbbítási listán, a Firebox a DNS-lekérdezést a hálózati DNS-kiszolgálóra továbbítja, ami példánkban a 4.2.2.1.

Ezeken a képeken láthatók a példánk hálózati DNS és DNS-továbbítási beállításai:

DNS-továbbítási beállítások a webes felhasználói felületen

DNS-továbbítási beállítások a Policy Managerben

A Fireware v12.6.4 vagy magasabb verziójában kikapcsolható a DNS gyorsítótár. További információért lásd: A DNS-ről a Fireboxon.

Szintén

Hálózati DNS és WINS kiszolgálók konfigurálása

DNS és WINS kiszolgálók konfigurálása mobil VPN-hez IPSec-kel

A DNS-ről a Fireboxon

A WatchGuard DNSWatch-ról

.

Articles

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.