By : admin

Możesz skonfigurować Fireboxa do przekazywania zapytań DNS z komputerów w sieci do serwera DNS. Na przykład można użyć przekazywania DNS do wysyłania zapytań DNS z oddziału do zdalnego serwera DNS w siedzibie głównej.

Przekazywanie DNS można włączyć za pomocą interfejsu Fireware Web UI, Policy Manager i CLI. Można również dodać warunkowe reguły przekierowania DNS. Reguły te umożliwiają wysyłanie zapytań DNS do różnych serwerów DNS na podstawie nazwy domeny zawartej w zapytaniu.

Warunkowe przekierowanie DNS może skutkować krótszym czasem odpowiedzi na zapytania DNS. Jeśli masz zasoby w chmurze, Twoi użytkownicy mogą łączyć się z tymi zasobami szybciej, ponieważ:

  • Niektórzy dostawcy usług w chmurze używają geolokalizacji, aby wybrać centrum danych, z którym się łączysz. Gdy użytkownik łączy się z serwerem DNS znajdującym się w pobliżu jego lokalizacji, dostawca usług w chmurze może połączyć go z najbliższym centrum danych.
  • Firebox buforuje wyniki zapytań DNS.

W Fireware v11.12.1 lub nowszym można włączyć przekazywanie DNS tylko z wiersza poleceń, a warunkowe przekazywanie DNS nie jest obsługiwane. Jeśli włączono przekazywanie DNS przed uaktualnieniem do wersji Fireware v11.12.2, przekazywanie DNS pozostaje włączone, ale zmienia się jego funkcjonalność, jak opisano w tym temacie.
Aby uzyskać instrukcje dotyczące włączania przekazywania DNS w oprogramowaniu Fireware v11.12.1 lub niższym, zobacz Jak włączyć przekazywanie DNS w Bazie wiedzy WatchGuard.

Serwery DNS na twoim Fireboxie

Niniejsze serwery DNS mogą być skonfigurowane na twoim Fireboxie:

  • Serwer DNS sieciowy – Domyślny serwer DNS dla wszystkich interfejsów i procesów lokalnych na Fireboxie
  • Serwer DNS interfejsu – Serwer DNS dla interfejsów, które określisz
  • Serwer DNS warunkowy – Serwer DNS dla. nazw domen i interfejsów określonych w regule przekierowania DNS
  • Serwer DNS uzyskany od dostawcy usług internetowych – Gdy Firebox jest skonfigurowany jako klient DHCP lub klient PPPoE
  • Serwer DNSSWatch – Serwer DNS, gdy DNSWatch jest włączony, w niektórych przypadkach

Każdy z serwerów DNS ma inne przeznaczenie i jest skonfigurowany w innym miejscu w ustawieniach Fireboxa.

Niektóre serwery DNS mają pierwszeństwo przed innymi. Po włączeniu reguły Przekazywanie DNS należy pamiętać, że:

  • Warunkowe serwery DNS mają pierwszeństwo przed sieciowym serwerem DNS i serwerami DNSWatch.
  • Serwer DNS interfejsu ma pierwszeństwo przed warunkowym serwerem DNS.

Więcej informacji na temat pierwszeństwa serwerów DNS można znaleźć w części Informacje o DNS w urządzeniu Firebox.

Jak to działa

Przekazywanie DNS oraz warunkowe przekazywanie DNS można włączyć w tych trybach sieciowych:

  • Mixed routing mode
  • Drop-in mode
  • Bridge mode

Po włączeniu przekazywania DNS:

  • Musisz wybrać jeden lub więcej interfejsów Trusted, Optional lub Custom, aby uczestniczyć w przekazywaniu DNS.
  • Procesy lokalne na Fireboxie używają Fireboxa jako serwera DNS.
  • Firebox buforuje wyniki zapytań DNS (do 10 000 wpisów).
  • Jeśli nie zostaną dodane warunkowe reguły przekazywania DNS, zapytania DNS wysyłane do lokalnego adresu IP Fireboxa są przekazywane do określonego sieciowego serwera DNS. Firebox buforuje wyniki tych zapytań.
  • Jeśli skonfigurujesz Fireboxa jako serwer DHCP, klienci DHCP w sieci automatycznie używają adresu IP interfejsu jako serwera DNS, chyba że określisz serwer DNS w ustawieniach serwera DHCP.
  • Ruch DNS wysyłany z interfejsów skonfigurowanych do przekazywania DNS do Fireboxa jest dozwolony. Polityka DNS i polityka DNS proxy dotyczą tylko ruchu DNS pass-through.
  • Jeśli skonfigurujesz interfejs Firebox jako serwer DHCP, a interfejs jest skonfigurowany do przekazywania DNS:
    • Jeśli nie określisz serwera DNS w ustawieniach serwera DHCP, serwer DHCP automatycznie nadaje adres IP interfejsu Firebox jako serwer DNS. DNS forwarding occurs.
    • If you specify a DNS server other than the IP address of the Firebox interface in the DHCP settings, the DHCP server automatically gives the IP address of the DNS server you specified. Przekazywanie DNS nie występuje.

Firebox może przetwarzać do 10 000 żądań DNS jednocześnie.

Jeśli włączysz rejestrowanie przekierowania DNS, Firebox wygeneruje komunikat dziennika, gdy wystąpi przekierowanie DNS.

Jeśli masz połączenie interfejsu wirtualnego BOVPN między witrynami i skonfigurujesz przekierowanie DNS, musisz dodać adres IP interfejsu wirtualnego w ustawieniach interfejsu wirtualnego BOVPN, aby przekierowanie DNS działało w sieci VPN. Adres IP interfejsu wirtualnego jest wymagany, ponieważ serwer DNS musi kierować ruch z powrotem na ten adres IP. Aby uzyskać więcej informacji o adresach IP interfejsu wirtualnego, zobacz Konfigurowanie adresów IP interfejsu wirtualnego BOVPN.

W Fireware v12.4 lub nowszym, można włączyć DNSWatch w trybie Bridge Mode. Aby Firebox mógł rozwiązywać nazwy hostów w domenach lokalnych, należy utworzyć reguły przekierowania DNS dla domen lokalnych, które określają lokalne serwery DNS.

Warunkowe przekierowanie DNS

Można dodać warunkowe reguły przekierowania DNS. Po dodaniu reguły przekierowania Firebox używa zbuforowanych informacji, aby odpowiedzieć na zapytanie DNS, lub przekazuje zapytanie do serwera DNS określonego w regule.

Na przykład na urządzeniu Firebox w oddziale, które ma połączenie VPN z centralą, można skonfigurować ustawienia DNS w następujący sposób:

  • Przekazywanie zapytań DNS dla domeny wewnętrznej example.com przez VPN do serwera DNS w centrali.
  • Przekazywać wszystkie inne zapytania DNS do publicznego serwera DNS, który znajduje się fizycznie bliżej oddziału.

Konfiguracja

Po włączeniu warunkowego przekierowania DNS w urządzeniu Firebox można dodać reguły przekierowania DNS. Dla każdej reguły przekierowania DNS można określić następujące ustawienia:

Nazwa domeny

Dodaj jedną lub więcej nazw domen. Nie ma ograniczeń co do liczby nazw domen, które można określić. Bardziej szczegółowe nazwy domen mają pierwszeństwo. Kolejność nazw domen nie ma znaczenia.

Serwer DNS

Określ serwer DNS. Zapytania dla dodanej nazwy domeny są wysyłane do określonego przez Ciebie serwera DNS. Można dodać do czterech serwerów DNS dla każdej nazwy domeny. Firebox kontaktuje się z pierwszym serwerem DNS na liście, a następnie w razie potrzeby z pozostałymi serwerami DNS.

Przykład

W tym przykładzie oddział ma Fireboxa skonfigurowanego jako serwer DHCP. Interfejsowy serwer DNS nie jest określony w ustawieniach serwera DHCP. Wewnętrzny serwer DNS znajduje się w sieci w biurze głównym. Na Fireboxie w biurze oddziału, warunkowa reguła przekierowania DNS wysyła zapytania dla example.com do serwera DNS w siedzibie głównej. Wszystkie inne zapytania DNS są wysyłane do sieciowego serwera DNS określonego na Fireboxie.

Jak to działa:

  1. W biurze oddziału klient DHCP w sieci wysyła zapytanie DNS dla nazwy domeny example.com.
  2. Firebox odbiera zapytanie i bada swoją pamięć podręczną DNS.
  3. Jeśli pamięć podręczna nie zawiera wpisu dla example.com, Firebox sprawdza swoją listę DNS Forwarding.
  4. Jeśli example.com znajduje się na liście DNS Forwarding, Firebox przekazuje zapytanie do serwera DNS określonego dla tej nazwy domeny.
    W naszym przykładzie zapytanie jest przekazywane do zdalnego serwera DNS w siedzibie głównej, 10.50.1.253.
  5. Jeśli example.com nie znajduje się na liście DNS Forwarding, Firebox przekazuje zapytanie DNS do sieciowego serwera DNS, którym w naszym przykładzie jest 4.2.2.1.

Niniejsze obrazy pokazują ustawienia Network DNS i DNS forwarding dla naszego przykładu:

Ustawienia DNS forwarding w Web UI

Ustawienia DNS forwarding w Policy Manager

W Fireware v12.6.4 lub nowszym, można wyłączyć DNS cache. Aby uzyskać więcej informacji, zobacz O DNS na Firebox.

Zobacz także

Konfigurowanie sieciowych serwerów DNS i WINS

Konfigurowanie serwerów DNS i WINS dla Mobile VPN z IPSec

About DNS on the Firebox

About WatchGuard DNSWatch

Articles

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.