Puteți configura Firebox-ul pentru a redirecționa interogările DNS de la computerele din rețeaua dumneavoastră către un server DNS. De exemplu, puteți utiliza redirecționarea DNS pentru a trimite interogări DNS de la o sucursală la un server DNS la distanță de la sediul central.

Puteți activa redirecționarea DNS din Fireware Web UI, Policy Manager și CLI. De asemenea, puteți adăuga reguli condiționate de redirecționare DNS. Aceste reguli vă permit să trimiteți interogări DNS către diferite servere DNS în funcție de numele de domeniu din interogare.

Transmiterea DNS condiționată poate duce la timpi de răspuns mai rapizi la interogările DNS. Dacă aveți resurse în cloud, utilizatorii dvs. se pot conecta mai rapid la aceste resurse, deoarece:

  • Câțiva furnizori de servicii cloud utilizează geolocalizarea pentru a selecta centrul de date la care vă conectați. Atunci când vă conectați la un server DNS apropiat de locația dumneavoastră, furnizorul de cloud vă poate conecta la cel mai apropiat centru de date.
  • Firebox stochează în memoria cache rezultatele interogărilor DNS.

În Fireware v11.12.1 sau o versiune inferioară, puteți activa redirecționarea DNS numai din linia de comandă, iar redirecționarea DNS condiționată nu este acceptată. Dacă ați activat redirecționarea DNS înainte de a face upgrade la Fireware v11.12.2, redirecționarea DNS rămâne activată, dar funcționalitatea se modifică, așa cum este descris în acest subiect.
Pentru instrucțiuni de activare a redirecționării DNS în Fireware v11.12.1 sau versiuni mai mici, consultați Cum se activează redirecționarea DNS în WatchGuard Knowledge Base.

Servere DNS pe Firebox-ul dumneavoastră

Este posibil ca aceste servere DNS să fie configurate pe Firebox-ul dumneavoastră:

  • Server DNS de rețea – Server DNS implicit pentru toate interfețele și procesele locale de pe Firebox
  • Server DNS de interfață – Server DNS pentru interfețele pe care le specificați
  • Server DNS condiționat – Server DNS pentru numele de domenii și interfețele pe care le specificați într-o regulă de redirecționare DNS
  • Server DNS obținut de la furnizorul dvs. de servicii de internet – Atunci când Firebox-ul este configurat ca un client DHCP sau client PPPoE
  • Server DNSWatch – Server DNS atunci când DNSWatch este activat, în unele cazuri

Care server DNS are un scop diferit și este configurat într-o locație diferită în setările Firebox.

Câteva servere DNS au prioritate față de altele. Când activați o regulă de redirecționare DNS, țineți cont de faptul că:

  • Serverele DNS condiționate au prioritate față de serverul DNS de rețea și de serverele DNSWatch.
  • Serverele DNS de interfață au prioritate față de serverul DNS condiționat.

Pentru mai multe informații despre precedența serverelor DNS, consultați Despre DNS pe Firebox.

Cum funcționează

Puteți activa redirecționarea DNS, și redirecționarea DNS condiționată, în aceste moduri de rețea:

  • Modul de rutare mixtă
  • Modul drop-in
  • Modul punte

Când activați redirecționarea DNS:

  • Trebuie să selectați una sau mai multe interfețe de încredere, opționale sau personalizate pentru a participa la redirecționarea DNS.
  • Procesele locale de pe Firebox utilizează Firebox ca server DNS.
  • Firebox stochează rezultatele interogărilor DNS (până la 10.000 de intrări).
  • Dacă nu adăugați reguli de redirecționare DNS condiționată, interogările DNS trimise la adresa IP locală a Firebox sunt redirecționate către serverul DNS de rețea pe care l-ați specificat. Firebox pune în cache rezultatele acestor interogări.
  • Dacă configurați Firebox ca server DHCP, clienții DHCP din rețea utilizează automat adresa IP a interfeței ca server DNS, cu excepția cazului în care specificați un server DNS în setările serverului DHCP.
  • Traficul DNS trimis de la interfețele configurate pentru redirecționarea DNS către Firebox este permis. Politica DNS și politica proxy DNS se aplică numai traficului DNS de tip pass-through.
  • Dacă configurați o interfață Firebox ca server DHCP, iar interfața este configurată pentru redirecționare DNS:
    • Dacă nu specificați un server DNS în setările DHCP, serverul DHCP oferă automat adresa IP a interfeței Firebox ca server DNS. Are loc redirecționarea DNS.
    • Dacă specificați un alt server DNS decât adresa IP a interfeței Firebox în setările DHCP, serverul DHCP oferă automat adresa IP a serverului DNS pe care l-ați specificat. Redirecționarea DNS nu are loc.

Firebox poate procesa până la 10.000 de cereri DNS în același timp.

Dacă activați jurnalizarea pentru redirecționarea DNS, Firebox să generează un mesaj de jurnal atunci când are loc redirecționarea DNS.

Dacă aveți o conexiune de interfață virtuală BOVPN între site-uri și configurați redirecționarea DNS, trebuie să adăugați o adresă IP de interfață virtuală în setările interfeței virtuale BOVPN, astfel încât redirecționarea DNS să funcționeze prin VPN. Adresa IP a interfeței virtuale este necesară deoarece serverul DNS trebuie să redirecționeze traficul către această adresă IP. Pentru mai multe informații despre adresele IP ale interfeței virtuale, consultați Configurarea adreselor IP ale interfeței virtuale BOVPN.

În Fireware v12.4 sau o versiune ulterioară, puteți activa DNSWatch în modul Bridge. Pentru ca Firebox să rezolve nume de gazdă pe domenii locale, trebuie să creați reguli de redirecționare DNS pentru domeniile locale care să specifice serverele DNS locale.

Redirecționare DNS condiționată

Puteți adăuga reguli de redirecționare DNS condiționată. Atunci când adăugați o regulă de redirecționare, Firebox utilizează informațiile din cache pentru a răspunde la o interogare DNS sau redirecționează interogarea către un server DNS specificat în regulă.

De exemplu, pe un Firebox de sucursală care are o conexiune VPN la sediul central, puteți configura setările DNS astfel încât:

  • Întoarceți interogările DNS pentru domeniul intern example.com prin VPN către serverul DNS de la sediul central.
  • Întoarceți toate celelalte interogări DNS către un server DNS public care este fizic mai aproape de sucursală.

Configurare

Când activați redirecționarea DNS condiționată pe Firebox-ul dumneavoastră, puteți adăuga reguli de redirecționare DNS. Pentru fiecare regulă de redirecționare DNS, specificați aceste setări:

Nume domeniu

Adaugați unul sau mai multe nume de domeniu. Nu există o limită a numărului de nume de domenii pe care le puteți specifica. Numele de domenii mai specifice au prioritate. Ordinea numelor de domenii nu contează.

Server DNS

Specificați un server DNS. Interogările pentru numele de domeniu pe care l-ați adăugat sunt trimise către serverul DNS pe care îl specificați. Puteți adăuga până la patru servere DNS pentru fiecare nume de domeniu. Firebox contactează primul server DNS din listă și contactează celelalte servere DNS, după cum este necesar.

Exemplu

În acest exemplu, o sucursală are un Firebox configurat ca server DHCP. Un server DNS de interfață nu este specificat în setările serverului DHCP. Serverul DNS intern se află în rețeaua de la sediul central. Pe Firebox-ul de la sucursală, o regulă de redirecționare DNS condiționată trimite interogări pentru example.com către serverul DNS de la sediul central. Toate celelalte interogări DNS sunt trimise către serverul DNS de rețea specificat pe Firebox.

Cum funcționează:

  1. La sediul filialei, un client DHCP din rețea trimite o interogare DNS pentru numele de domeniu example.com.
  2. Firebox-ul primește interogarea și își examinează memoria cache DNS.
  3. Dacă memoria cache nu conține o intrare pentru example.com, Firebox-ul examinează lista sa de redirecționare DNS.
  4. Dacă example.com este inclus în lista de redirecționare DNS, Firebox-ul redirecționează interogarea către serverul DNS specificat pentru acel nume de domeniu.
    În exemplul nostru, interogarea este redirecționată către serverul DNS la distanță de la sediul central, 10.50.1.253.
  5. Dacă example.com nu este inclus în lista DNS Forwarding, Firebox redirecționează interogarea DNS către serverul DNS de rețea, care este 4.2.2.1 în exemplul nostru.

Aceste imagini arată setările DNS de rețea și de redirecționare DNS pentru exemplul nostru:

Setări de redirecționare DNS în Web UI

Setări de redirecționare DNS în Policy Manager

În Fireware v12.6.4 sau superior, puteți dezactiva memoria cache DNS. Pentru mai multe informații, consultați Despre DNS pe Firebox.

Vezi și

Configurare DNS de rețea și servere WINS

Configurare DNS și servere WINS pentru VPN mobil cu IPSec

Despre DNS pe Firebox

Despre WatchGuard DNSWatch

.

Articles

Lasă un răspuns

Adresa ta de email nu va fi publicată.