Внешние DNS-серверы
Last updated
Last updated
Для корректной работы резолвинга имен через Ideco NGFW указывать DNS-серверы в этом разделе не требуется.
Если DNS-сервера не указаны, то сервер будет разрешать имена в сети интернет, используя корневые DNS-серверы в интернете.
Данная конфигурация не будет работать, если вышестоящий роутер перехватывает DNS-запросы. В этом случае рекомендуем:
Укажите DNS-серверы вручную (нажмите Добавить):
Выберите Задать вручную и укажите IP-адрес DNS-сервера;
Используйте опцию Использовать DNS, выданные подключению, указав нужное подключение.
1. DNS-сервер, встроенный в Ideco NGFW, — кеширующий. Рекомендуется использовать его в качестве DNS-сервера для локальной сети.
2. Не указывайте 8.8.8.8, 1.1.1.1 или подобные без особой необходимости. Ideco NGFW справится с резолвингом самостоятельно.
3. Не указывайте DNS-сервера от внутреннего сервера Active Directory, даже если он может самостоятельно резолвить доменные имена в интернете. При интеграции с AD Ideco NGFW автоматически настроит все необходимое (Forward-зону) для работы AD и резолвинга внутренних имен домена. Для резолвинга каких-то особых зон, не связанных с AD, создавайте Forward-зону.
4. Не рекомендуем использовать DNS, выданные интернет-провайдером, так как они превышают TTL и долго отвечают. Ideco NGFW настроит автоматически все необходимое для подключения к PPTP/L2TP через доменное имя. Если нужна особая внутренняя доменная зона провайдера, то создавайте Forward-зону.
5. Можно указывать DNS-сервера занимающиеся фильтрацией, если это необходимо (SkyDNS или Яндекс-DNS).
6. Если все DNS-сервера отключены или удалены, то DNS будет работать нормально (Ideco NGFW резолвит имена самостоятельно).
7. Если интернет-провайдер или вышестоящее устройство перехватывает DNS запросы, то использование стандартной конфигурации с корневыми серверами невозможно. Рекомендуем задать сервера вручную или использовать DNS-сервера, выданные подключению.
Включение перехвата пользовательских DNS-запросов блокирует использование DNS-over-TLS (DoT), DNS-over-QUIC (DoQ) и DNS-over-HTTPS (DoH).
Если на рабочей станции пользователя указаны сторонние DNS-сервера (например, с целью обхода блокировок), включите опцию Перехват пользовательских DNS-запросов в разделе Внешние DNS-серверы.
Опция включается глобально для всех хостов в локальной сети для избежания возможной подмены адреса ресурса при резолвинге его домена. Также перехват позволит контролировать процесс резолвинга доменных имен в интернете исключительно средствами NGFW. Запрос будет перенаправлен на DNS-сервер NGFW и он же сформирует ответ (вместо исходного DNS-сервера).
Перехват DNS-запросов также блокирует возможность туннелирования через DNS (DNS-tunneling) и блокирует использование DNS-over-TLS.
При резолвинге через DNS-сервер NGFW будет возвращать адреса поисковых систем с включенной фильтрацией неподобающего контента.
