Что такое переадресация DNS

Обновлено: 02.07.2024

Вы можете настроить Firebox для пересылки DNS-запросов с компьютеров в вашей сети на DNS-сервер. Например, вы можете использовать переадресацию DNS для отправки DNS-запросов из филиала на удаленный DNS-сервер в головном офисе.

Вы можете включить переадресацию DNS из веб-интерфейса Fireware, диспетчера политик и интерфейса командной строки. Вы также можете добавить условные правила переадресации DNS. Эти правила позволяют отправлять DNS-запросы на разные DNS-серверы в зависимости от доменного имени в запросе.

Условная переадресация DNS может сократить время ответа на запросы DNS. Если у вас есть ресурсы в облаке, ваши пользователи смогут быстрее подключаться к этим ресурсам, потому что:

  • Некоторые поставщики облачных услуг используют геолокацию для выбора центра обработки данных, к которому вы подключаетесь. Когда вы подключаетесь к DNS-серверу рядом с вами, ваш облачный провайдер может подключить вас к своему ближайшему центру обработки данных.
  • Firebox кэширует результаты DNS-запросов.

В этом разделе объясняется:

В Fireware версии 11.12.1 или более ранней вы можете включить переадресацию DNS только из командной строки, а условная переадресация DNS не поддерживается. Если вы включили переадресацию DNS перед обновлением до Fireware версии 11.12.2, переадресация DNS останется включенной, но функциональные возможности изменятся, как описано в этом разделе. Инструкции по включению переадресации DNS в Fireware версии 11.12.1 или ниже см. в разделе Как включить переадресацию DNS в базе знаний WatchGuard.

DNS-серверы в вашем Firebox

Эти DNS-серверы могут быть настроены в вашем Firebox:

  • Сетевой DNS-сервер — DNS-сервер по умолчанию для всех интерфейсов и локальных процессов в Firebox.
  • DNS-сервер интерфейса — DNS-сервер для указанных вами интерфейсов.
  • Условный DNS-сервер — DNS-сервер для доменных имен и интерфейсов, которые вы указываете в правиле переадресации DNS.
  • DNS-сервер, полученный от вашего интернет-провайдера — если ваш Firebox настроен как DHCP-клиент или клиент PPPoE
  • Сервер DNSWatch — DNS-сервер, когда DNSWatch включен, в некоторых случаях

Каждый DNS-сервер имеет свое назначение и настраивается в разных местах в настройках Firebox.

Некоторые DNS-серверы имеют приоритет над другими. При включении правила переадресации DNS имейте в виду, что:

  • Условные DNS-серверы имеют приоритет над сетевым DNS-сервером и серверами DNSWatch.
  • Интерфейсный DNS-сервер имеет приоритет над условным DNS-сервером.

Дополнительную информацию о приоритете DNS-серверов см. в разделе О DNS в Firebox.

Переадресация DNS

Вы можете включить переадресацию DNS и условную переадресацию DNS в следующих сетевых режимах:

  • Смешанный режим маршрутизации
  • Режим вставки
  • Режим моста

При включении переадресации DNS:

  • Для участия в переадресации DNS необходимо выбрать один или несколько доверенных, необязательных или настраиваемых интерфейсов.
  • Локальные процессы в Firebox используют Firebox в качестве DNS-сервера.
  • Firebox кэширует результаты DNS-запросов (до 10 000 записей).
  • Если вы не добавите условные правила переадресации DNS, DNS-запросы, отправленные на локальный IP-адрес Firebox, перенаправляются на указанный вами сетевой DNS-сервер. Firebox кэширует результаты этих запросов.
  • Если вы настроите Firebox как DHCP-сервер, DHCP-клиенты в вашей сети автоматически будут использовать IP-адрес интерфейса в качестве DNS-сервера, если вы не укажете DNS-сервер в настройках DHCP-сервера.
  • Трафик DNS, отправляемый с интерфейсов, настроенных для переадресации DNS, в Firebox, разрешен. Политика DNS и политика прокси-сервера DNS применяются только к транзитному трафику DNS.
  • Если вы настроили интерфейс Firebox в качестве DHCP-сервера, и этот интерфейс настроен для переадресации DNS:
    • Если вы не укажете DNS-сервер в настройках DHCP, DHCP-сервер автоматически предоставит IP-адрес интерфейса Firebox в качестве DNS-сервера. Происходит переадресация DNS.
    • Если вы укажете DNS-сервер, отличный от IP-адреса интерфейса Firebox в настройках DHCP, DHCP-сервер автоматически предоставит IP-адрес указанного вами DNS-сервера. Переадресация DNS не происходит.

    Firebox может обрабатывать до 10 000 DNS-запросов одновременно.

    Если вы включите ведение журнала для переадресации DNS, Firebox будет генерировать сообщение журнала, когда происходит переадресация DNS.

    Если у вас есть подключение между сайтами через виртуальный интерфейс BOVPN и вы настраиваете переадресацию DNS, необходимо добавить IP-адрес виртуального интерфейса в настройки виртуального интерфейса BOVPN, чтобы переадресация DNS работала через VPN. IP-адрес виртуального интерфейса требуется, поскольку DNS-сервер должен направлять трафик обратно на этот IP-адрес. Дополнительные сведения об IP-адресах виртуального интерфейса см. в разделе Настройка IP-адресов виртуального интерфейса BOVPN.

    В Fireware v12.4 или выше вы можете включить DNSWatch в режиме моста. Чтобы Firebox разрешал имена хостов в локальных доменах, вы должны создать правила переадресации DNS для локальных доменов, в которых указаны локальные DNS-серверы.

    Условная переадресация DNS

    Вы можете добавить правила условной переадресации DNS. Когда вы добавляете правило переадресации, Firebox использует кешированную информацию для ответа на DNS-запрос или перенаправляет запрос на DNS-сервер, указанный в правиле.

    Например, в филиале Firebox, у которого есть VPN-подключение к головному офису, вы можете настроить параметры DNS следующим образом:

    Конфигурация

    Когда вы включаете условную переадресацию DNS в Firebox, вы можете добавить правила переадресации DNS. Для каждого правила переадресации DNS вы указываете следующие параметры:

    Добавьте одно или несколько доменных имен. Количество доменных имен, которые вы можете указать, не ограничено. Более конкретные доменные имена имеют приоритет. Порядок доменных имен не имеет значения.

    Укажите DNS-сервер. Запросы для добавленного вами доменного имени отправляются на указанный вами DNS-сервер. Вы можете добавить до четырех DNS-серверов для каждого доменного имени. Firebox связывается с первым DNS-сервером в списке и при необходимости связывается с другими DNS-серверами.

    Отключить кеш DNS

    Если вы включите функции переадресации DNS или DNSWatch, преобразователь DNS ( 127.0.0.1 ) автоматически активируется в Firebox. В Fireware v12.6.4 или выше вы можете отключить кеш DNS. Информацию о том, как отключить кеш, см. в разделе О DNS в Firebox.

    Пример

    Схема топологии для примера сети с условной переадресацией DNS

    На этих изображениях показаны настройки сетевого DNS и переадресации DNS для нашего примера:

    Снимок экрана конфигурации переадресации DNS

    Настройки переадресации DNS в веб-интерфейсе Fireware

    Снимок экрана с настройками переадресации DNS в WSM

    Настройки переадресации DNS в диспетчере политик

    См. также

    © WatchGuard Technologies, Inc., 2022. Все права защищены. WatchGuard и логотип WatchGuard являются зарегистрированными товарными знаками или товарными знаками WatchGuard Technologies в США и/или других странах. Все остальные торговые наименования являются собственностью соответствующих владельцев.

    Службы приложений в кластерах Iguazio Data Science Platform («платформа») работают поверх Kubernetes (см. Службы приложений платформы). Доступ к службам осуществляется через входы Kubernetes, которые действуют как шлюзы, позволяющие получить доступ к кластерным приложениям и внутренним службам через URL-адреса служб. Платформа использует DNS-сервер CoreDNS для разрешения URL-адресов службы кластера и сопоставления их с IP-адресами внутренней службы. DNS-сервер кластера должен быть настроен на использование условной пересылки, чтобы DNS-запросы, содержащие доменное имя кластера, и только такие запросы, перенаправлялись на платформу для разрешения. В этом документе приведены пошаговые инструкции по настройке условной переадресации DNS в Linux или Windows.

    Терминология

    Система доменных имен DNS — интернет-сервис, преобразующий доменные имена в IP-адреса. Переадресация DNS Переадресация DNS — это процесс, при котором определенные наборы DNS-запросов перенаправляются на назначенный сервер для разрешения в соответствии с доменным именем DNS в запросе, а не обрабатываются первоначальным сервером, с которым связался клиент. Этот процесс повышает производительность и устойчивость сети. Он предоставляет способ разрешать запросы имен как внутри, так и за пределами сети, передавая пространства имен или записи ресурсов, которые не содержатся в зоне локального DNS-сервера, на удаленный DNS-сервер для разрешения. Когда DNS-сервер настроен на использование сервера пересылки, если он не может разрешить запрос имени с помощью своей локальной первичной зоны, дополнительной зоны или кэша, он перенаправляет запрос назначенному серверу пересылки вместо того, чтобы пытаться разрешить его с помощью root. подсказки (как это делается, когда сервер пересылки не настроен). Условные серверы пересылки Условные серверы пересылки — это DNS-серверы, которые пересылают запросы только для определенных доменных имен. Вместо того, чтобы перенаправлять все запросы, которые он не может разрешить локально, серверу пересылки, модуль условной пересылки настроен на пересылку запросов имени конкретным серверам пересылки на основе доменного имени, содержащегося в запросе. Пересылка в соответствии с доменными именами улучшает обычную пересылку, добавляя в процесс пересылки условие на основе имени.Это позволяет улучшить разрешение имен между внутренними (частными) пространствами имен DNS, которые не являются частью пространства имен DNS в Интернете, например, в результате слияния компаний. FQDN Полное доменное имя

    Конфигурация DNS для Linux

    Выполните следующие шаги, чтобы настроить условную переадресацию DNS в Linux с помощью BIND — популярного DNS-сервера с открытым исходным кодом от Internet Systems Consortium (ISC), который присутствует в большинстве дистрибутивов Linux. дополнительные сведения о BIND см. в разделе «Дополнительные ресурсы» этого документа.

    Откройте файл конфигурации сервера имен BIND ( named.conf ) в текстовом редакторе и добавьте следующие строки; замените заполнитель на полное доменное имя кластера платформы, на который вы хотите перенаправлять запросы, и замените заполнители на IP-адреса основных узлов данных кластера:

    Проверьте и перезагрузите конфигурацию, выполнив следующие команды из командной строки Linux:

    Конфигурация DNS для Windows

    Выполните следующие шаги, чтобы настроить условную переадресацию DNS в Windows.

    Следующие инструкции совместимы с Windows Server 2012 R2. Конкретные шаги и параметры меню могут отличаться в других версиях Windows.

    Откройте Windows Server Manager (например, введя ServerManager в командной строке Windows). В окне диспетчера серверов выберите вкладку Инструменты. Затем выберите DNS из списка инструментов.

    Диспетчер DNS-серверов — выберите DNS< бр />

    В окне диспетчера DNS выберите свой DNS-сервер. Затем выберите Условные серверы пересылки в дереве обзора серверов.

    Диспетчер DNS-серверов — выберите DNS< бр />

    Выберите «Действие» на верхней панели инструментов меню, а затем выберите пункт меню «Новая программа условной пересылки».

    Диспетчер DNS-серверов — выберите DNS< бр />

    В окне "Новая программа условной пересылки" —

    В поле DNS-домен введите полное доменное имя кластера платформы, для которого вы хотите перенаправлять запросы.

    В поле IP-адреса главных серверов добавьте IP-адреса основных узлов данных вашего кластера.

    Отметьте флажок Сохранить этот модуль условной пересылки в Active Directory . флажок, если применимо.

    Диспетчер DNS-серверов — выберите DNS< бр />

    Дополнительные ресурсы

    Информация в этом документе частично основана на следующих источниках:

    Читайте также: