By : admin

Du kan konfigurera Fireboxen så att den vidarebefordrar DNS-förfrågningar från datorer i nätverket till en DNS-server. Du kan till exempel använda DNS-vidarebefordran för att skicka DNS-frågor från ett filialkontor till en fjärr-DNS-server på huvudkontoret.

Du kan aktivera DNS-vidarebefordran från Fireware Web UI, Policy Manager och CLI. Du kan också lägga till villkorliga regler för DNS-vidarebefordran. Med dessa regler kan du skicka DNS-frågor till olika DNS-servrar baserat på domännamnet i frågan.

Betingad DNS-vidarebefordran kan resultera i snabbare svarstider på DNS-frågor. Om du har resurser i molnet kan dina användare ansluta till dessa resurser snabbare eftersom:

  • Vissa molntjänstleverantörer använder geolokalisering för att välja vilket datacenter du ansluter till. När du ansluter till en DNS-server nära din plats kan molnleverantören ansluta dig till sitt närmaste datacenter.
  • Fireboxen lagrar resultaten från DNS-frågor.

I Fireware v11.12.1 eller lägre kan du bara aktivera DNS-vidarebefordran från kommandoraden, och villkorlig DNS-vidarebefordran stöds inte. Om du aktiverade DNS-vidarebefordran innan du uppgraderade till Fireware v11.12.2 förblir DNS-vidarebefordran aktiverad, men funktionaliteten ändras enligt beskrivningen i det här avsnittet.
Instruktioner för att aktivera DNS-vidarebefordran i Fireware v11.12.1 eller lägre finns i Hur man aktiverar DNS-vidarebefordran i WatchGuards kunskapsdatabas.

DNS-servrar på din Firebox

Dessa DNS-servrar kan vara konfigurerade på din Firebox:

  • Nätverks-DNS-server – Standard-DNS-server för alla gränssnitt och lokala processer på Fireboxen
  • Interface DNS-server – DNS-server för de gränssnitt som du anger
  • Konditionell DNS-server – DNS-server för domännamn och gränssnitt som du anger i en DNS-vidarebefordringsregel
  • DNS-server som erhålls från din internetleverantör – När din Firebox är konfigurerad som en DHCP-klient eller PPPoE-klient
  • DNSWatch-server – DNS-server när DNSWatch är aktiverad, i vissa fall

Varje DNS-server har ett annat syfte och konfigureras på en annan plats i Firebox-inställningarna.

Vissa DNS-servrar har företräde framför andra. När du aktiverar en regel för DNS-vidarebefordran ska du vara medveten om att:

  • Betingade DNS-servrar har företräde framför nätverks-DNS-servern och DNSWatch-servrarna.
  • Interface-DNS-servern har företräde framför den betingade DNS-servern.

För mer information om DNS-serverns företräde, se Om DNS på Fireboxen.

Hur det fungerar

Du kan aktivera DNS-vidarebefordran och villkorlig DNS-vidarebefordran i dessa nätverkslägen:

  • Mixed routing mode
  • Drop-in mode
  • Bridge mode

När du aktiverar DNS-vidarebefordran:

  • Du måste välja ett eller flera Trusted (betrodda), Optional (valfria) eller Custom (anpassade) gränssnitt för att delta i DNS forwarding.
  • De lokala processerna på Fireboxen använder Fireboxen som DNS-server.
  • Fireboxen lagrar resultaten av DNS-frågor (upp till 10 000 poster).
  • Om du inte lägger till villkorliga regler för DNS-vidarebefordran vidarebefordras DNS-frågor som skickas till Fireboxens lokala IP-adress till den DNS-server i nätverket som du angett. Fireboxen cacher resultaten av dessa förfrågningar.
  • Om du konfigurerar Fireboxen som en DHCP-server använder DHCP-klienterna i nätverket automatiskt gränssnittets IP-adress som DNS-server, om du inte anger en DNS-server i DHCP-serverinställningarna.
  • DNS-trafik som skickas från gränssnitt som är konfigurerade för DNS-vidarebefordran till Fireboxen är tillåten. DNS-policyn och DNS-proxypolicyn gäller endast för DNS-trafik som går igenom.
  • Om du konfigurerar ett Firebox-gränssnitt som DHCP-server och gränssnittet är konfigurerat för DNS-vidarebefordran:
    • Om du inte anger någon DNS-server i DHCP-inställningarna anger DHCP-servern automatiskt IP-adressen för Firebox-gränssnittet som DNS-server. DNS-vidarebefordran sker.
    • Om du anger en annan DNS-server än IP-adressen för Firebox-gränssnittet i DHCP-inställningarna ger DHCP-servern automatiskt IP-adressen för den DNS-server du angett. DNS-vidarebefordran sker inte.

Fireboxen kan behandla upp till 10 000 DNS-förfrågningar samtidigt.

Om du aktiverar loggning för DNS-vidarebefordran genererar Fireboxen ett loggmeddelande när DNS-vidarebefordran sker.

Om du har en virtuell gränssnittsanslutning BOVPN mellan platser och konfigurerar DNS-vidarebefordran måste du lägga till en IP-adress för det virtuella gränssnittet i inställningarna för det virtuella gränssnittet BOVPN så att DNS-vidarebefordran fungerar över VPN. IP-adressen för det virtuella gränssnittet behövs eftersom DNS-servern måste dirigera trafiken tillbaka till den IP-adressen. Mer information om IP-adresser för virtuella gränssnitt finns i Konfigurera IP-adresser för virtuella gränssnitt för BOVPN.

I Fireware v12.4 eller senare kan du aktivera DNSWatch i bryggläge. För att Firebox ska kunna lösa värdnamn på lokala domäner måste du skapa DNS-vidarebefordringsregler för lokala domäner som anger de lokala DNS-servrarna.

Villkorlig DNS-vidarebefordran

Du kan lägga till villkorliga DNS-vidarebefordringsregler. När du lägger till en vidarebefordringsregel använder brandlådan cachad information för att svara på en DNS-fråga, eller så vidarebefordrar den frågan till en DNS-server som anges i regeln.

Till exempel kan du på en Firebox på en filial som har en VPN-anslutning till huvudkontoret konfigurera DNS-inställningarna så att:

  • Den kan vidarebefordra DNS-frågor för den interna domänen example.com via VPN till DNS-servern på huvudkontoret.
  • Förmedla alla andra DNS-frågor till en offentlig DNS-server som ligger fysiskt närmare filialkontoret.

Konfiguration

När du aktiverar villkorlig DNS-vidarebefordran på din Firebox kan du lägga till DNS-vidarebefordringsregler. För varje DNS-vidarebefordringsregel anger du de här inställningarna:

Domännamn

Lägg till ett eller flera domännamn. Det finns ingen begränsning för antalet domännamn som du kan ange. Mer specifika domännamn har företräde. Domännamnens ordning spelar ingen roll.

DNS-server

Ange en DNS-server. Förfrågningar om det domännamn som du har lagt till skickas till den DNS-server som du anger. Du kan lägga till upp till fyra DNS-servrar för varje domännamn. Fireboxen kontaktar den första DNS-servern i listan och kontaktar de andra DNS-servrarna vid behov.

Exempel

I det här exemplet har ett filialkontor en Firebox som konfigurerats som en DHCP-server. En DNS-server för gränssnittet har inte angetts i DHCP-serverinställningarna. Den interna DNS-servern finns i nätverket på huvudkontoret. På Fireboxen på filialkontoret skickar en villkorlig DNS-vidarebefordringsregel frågor för example.com till DNS-servern på huvudkontoret. Alla andra DNS-frågor skickas till den nätverks-DNS-server som anges på Fireboxen.

Hur det fungerar:

  1. På filialkontoret skickar en DHCP-klient i nätverket en DNS-fråga för domännamnet example.com.
  2. Fireboxen tar emot frågan och undersöker sin DNS-cache.
  3. Om cacheminnet inte innehåller någon post för example.com undersöker brandlådan sin DNS Forwarding-lista.
  4. Om example.com finns med i DNS Forwarding-listan vidarebefordrar brandlådan förfrågan till den DNS-server som anges för det domännamnet.
    I vårt exempel vidarebefordras förfrågan till fjärr-DNS-servern på huvudkontoret, 10.50.1.253.
  5. Om example.com inte finns med i DNS Forwarding-listan vidarebefordrar Fireboxen DNS-förfrågan till nätverks-DNS-servern, som är 4.2.2.1 i vårt exempel.

De här bilderna visar inställningarna för Network DNS och DNS-forwarding för vårt exempel:

Inställningar för DNS-forwarding i Web UI

Inställningar för DNS-forwarding i Policy Manager

I Fireware v12.6.4 eller senare kan du inaktivera DNS-cachen. Mer information finns i Om DNS på Fireboxen.

Se även

Konfigurera nätverks-DNS och WINS-servrar

Konfigurera DNS- och WINS-servrar för Mobile VPN med IPSec

Om DNS på Fireboxen

Om WatchGuard DNSWatch

.

Articles

Lämna ett svar

Din e-postadress kommer inte publiceras.