Du kan konfigurera Fireboxen så att den vidarebefordrar DNS-förfrågningar från datorer i nätverket till en DNS-server. Du kan till exempel använda DNS-vidarebefordran för att skicka DNS-frågor från ett filialkontor till en fjärr-DNS-server på huvudkontoret.
Du kan aktivera DNS-vidarebefordran från Fireware Web UI, Policy Manager och CLI. Du kan också lägga till villkorliga regler för DNS-vidarebefordran. Med dessa regler kan du skicka DNS-frågor till olika DNS-servrar baserat på domännamnet i frågan.
Betingad DNS-vidarebefordran kan resultera i snabbare svarstider på DNS-frågor. Om du har resurser i molnet kan dina användare ansluta till dessa resurser snabbare eftersom:
- Vissa molntjänstleverantörer använder geolokalisering för att välja vilket datacenter du ansluter till. När du ansluter till en DNS-server nära din plats kan molnleverantören ansluta dig till sitt närmaste datacenter.
- Fireboxen lagrar resultaten från DNS-frågor.
I Fireware v11.12.1 eller lägre kan du bara aktivera DNS-vidarebefordran från kommandoraden, och villkorlig DNS-vidarebefordran stöds inte. Om du aktiverade DNS-vidarebefordran innan du uppgraderade till Fireware v11.12.2 förblir DNS-vidarebefordran aktiverad, men funktionaliteten ändras enligt beskrivningen i det här avsnittet.
Instruktioner för att aktivera DNS-vidarebefordran i Fireware v11.12.1 eller lägre finns i Hur man aktiverar DNS-vidarebefordran i WatchGuards kunskapsdatabas.
DNS-servrar på din Firebox
Dessa DNS-servrar kan vara konfigurerade på din Firebox:
- Nätverks-DNS-server – Standard-DNS-server för alla gränssnitt och lokala processer på Fireboxen
- Interface DNS-server – DNS-server för de gränssnitt som du anger
- Konditionell DNS-server – DNS-server för domännamn och gränssnitt som du anger i en DNS-vidarebefordringsregel
- DNS-server som erhålls från din internetleverantör – När din Firebox är konfigurerad som en DHCP-klient eller PPPoE-klient
- DNSWatch-server – DNS-server när DNSWatch är aktiverad, i vissa fall
Varje DNS-server har ett annat syfte och konfigureras på en annan plats i Firebox-inställningarna.
Vissa DNS-servrar har företräde framför andra. När du aktiverar en regel för DNS-vidarebefordran ska du vara medveten om att:
- Betingade DNS-servrar har företräde framför nätverks-DNS-servern och DNSWatch-servrarna.
- Interface-DNS-servern har företräde framför den betingade DNS-servern.
För mer information om DNS-serverns företräde, se Om DNS på Fireboxen.
Hur det fungerar
Du kan aktivera DNS-vidarebefordran och villkorlig DNS-vidarebefordran i dessa nätverkslägen:
- Mixed routing mode
- Drop-in mode
- Bridge mode
När du aktiverar DNS-vidarebefordran:
- Du måste välja ett eller flera Trusted (betrodda), Optional (valfria) eller Custom (anpassade) gränssnitt för att delta i DNS forwarding.
- De lokala processerna på Fireboxen använder Fireboxen som DNS-server.
- Fireboxen lagrar resultaten av DNS-frågor (upp till 10 000 poster).
- Om du inte lägger till villkorliga regler för DNS-vidarebefordran vidarebefordras DNS-frågor som skickas till Fireboxens lokala IP-adress till den DNS-server i nätverket som du angett. Fireboxen cacher resultaten av dessa förfrågningar.
- Om du konfigurerar Fireboxen som en DHCP-server använder DHCP-klienterna i nätverket automatiskt gränssnittets IP-adress som DNS-server, om du inte anger en DNS-server i DHCP-serverinställningarna.
- DNS-trafik som skickas från gränssnitt som är konfigurerade för DNS-vidarebefordran till Fireboxen är tillåten. DNS-policyn och DNS-proxypolicyn gäller endast för DNS-trafik som går igenom.
- Om du konfigurerar ett Firebox-gränssnitt som DHCP-server och gränssnittet är konfigurerat för DNS-vidarebefordran:
- Om du inte anger någon DNS-server i DHCP-inställningarna anger DHCP-servern automatiskt IP-adressen för Firebox-gränssnittet som DNS-server. DNS-vidarebefordran sker.
- Om du anger en annan DNS-server än IP-adressen för Firebox-gränssnittet i DHCP-inställningarna ger DHCP-servern automatiskt IP-adressen för den DNS-server du angett. DNS-vidarebefordran sker inte.
Fireboxen kan behandla upp till 10 000 DNS-förfrågningar samtidigt.
Om du aktiverar loggning för DNS-vidarebefordran genererar Fireboxen ett loggmeddelande när DNS-vidarebefordran sker.
Om du har en virtuell gränssnittsanslutning BOVPN mellan platser och konfigurerar DNS-vidarebefordran måste du lägga till en IP-adress för det virtuella gränssnittet i inställningarna för det virtuella gränssnittet BOVPN så att DNS-vidarebefordran fungerar över VPN. IP-adressen för det virtuella gränssnittet behövs eftersom DNS-servern måste dirigera trafiken tillbaka till den IP-adressen. Mer information om IP-adresser för virtuella gränssnitt finns i Konfigurera IP-adresser för virtuella gränssnitt för BOVPN.
I Fireware v12.4 eller senare kan du aktivera DNSWatch i bryggläge. För att Firebox ska kunna lösa värdnamn på lokala domäner måste du skapa DNS-vidarebefordringsregler för lokala domäner som anger de lokala DNS-servrarna.
Villkorlig DNS-vidarebefordran
Du kan lägga till villkorliga DNS-vidarebefordringsregler. När du lägger till en vidarebefordringsregel använder brandlådan cachad information för att svara på en DNS-fråga, eller så vidarebefordrar den frågan till en DNS-server som anges i regeln.
Till exempel kan du på en Firebox på en filial som har en VPN-anslutning till huvudkontoret konfigurera DNS-inställningarna så att:
- Den kan vidarebefordra DNS-frågor för den interna domänen example.com via VPN till DNS-servern på huvudkontoret.
- Förmedla alla andra DNS-frågor till en offentlig DNS-server som ligger fysiskt närmare filialkontoret.
Konfiguration
När du aktiverar villkorlig DNS-vidarebefordran på din Firebox kan du lägga till DNS-vidarebefordringsregler. För varje DNS-vidarebefordringsregel anger du de här inställningarna:
Domännamn
Lägg till ett eller flera domännamn. Det finns ingen begränsning för antalet domännamn som du kan ange. Mer specifika domännamn har företräde. Domännamnens ordning spelar ingen roll.
DNS-server
Ange en DNS-server. Förfrågningar om det domännamn som du har lagt till skickas till den DNS-server som du anger. Du kan lägga till upp till fyra DNS-servrar för varje domännamn. Fireboxen kontaktar den första DNS-servern i listan och kontaktar de andra DNS-servrarna vid behov.
Exempel
I det här exemplet har ett filialkontor en Firebox som konfigurerats som en DHCP-server. En DNS-server för gränssnittet har inte angetts i DHCP-serverinställningarna. Den interna DNS-servern finns i nätverket på huvudkontoret. På Fireboxen på filialkontoret skickar en villkorlig DNS-vidarebefordringsregel frågor för example.com till DNS-servern på huvudkontoret. Alla andra DNS-frågor skickas till den nätverks-DNS-server som anges på Fireboxen.
Hur det fungerar:
- På filialkontoret skickar en DHCP-klient i nätverket en DNS-fråga för domännamnet example.com.
- Fireboxen tar emot frågan och undersöker sin DNS-cache.
- Om cacheminnet inte innehåller någon post för example.com undersöker brandlådan sin DNS Forwarding-lista.
- Om example.com finns med i DNS Forwarding-listan vidarebefordrar brandlådan förfrågan till den DNS-server som anges för det domännamnet.
I vårt exempel vidarebefordras förfrågan till fjärr-DNS-servern på huvudkontoret, 10.50.1.253. - Om example.com inte finns med i DNS Forwarding-listan vidarebefordrar Fireboxen DNS-förfrågan till nätverks-DNS-servern, som är 4.2.2.1 i vårt exempel.
De här bilderna visar inställningarna för Network DNS och DNS-forwarding för vårt exempel:
Inställningar för DNS-forwarding i Web UI
Inställningar för DNS-forwarding i Policy Manager
I Fireware v12.6.4 eller senare kan du inaktivera DNS-cachen. Mer information finns i Om DNS på Fireboxen.
Se även
Konfigurera nätverks-DNS och WINS-servrar
Konfigurera DNS- och WINS-servrar för Mobile VPN med IPSec
Om DNS på Fireboxen
Om WatchGuard DNSWatch
.