Внешние DNS-серверы
Last updated
Was this helpful?
Last updated
Was this helpful?
Для корректной работы резолвинга имен через Ideco NGFW указывать DNS-серверы в этом разделе не требуется.
Если DNS-серверы не указаны, то сервер будет разрешать имена в сети интернет, используя корневые DNS-серверы в интернете.
Данная конфигурация не будет работать, если вышестоящий роутер перехватывает DNS-запросы. В этом случае рекомендуем:
Укажите DNS-серверы вручную (нажмите Добавить):
Выберите Задать вручную и укажите IP-адрес DNS-сервера;
Используйте опцию Использовать DNS, выданные подключению, указав нужное подключение:
1. В Ideco NGFW встроен кеширующий DNS-сервер. Рекомендуется использовать его в качестве DNS-сервера для локальной сети.
2. Не указывайте 8.8.8.8, 1.1.1.1 или подобные без особой необходимости. Ideco NGFW справится с резолвингом самостоятельно.
3. Не указывайте DNS-серверы от внутреннего сервера Active Directory, даже если он может самостоятельно резолвить доменные имена в интернете. При интеграции с AD Ideco NGFW автоматически настроит все необходимое (Forward-зону) для работы AD и резолвинга внутренних имен домена. Для резолвинга каких-то особых зон, не связанных с AD, создавайте Forward-зону.
4. Не рекомендуем использовать DNS, выданные интернет-провайдером, так как они превышают TTL и долго отвечают. Ideco NGFW настроит автоматически все необходимое для подключения к PPTP/L2TP через доменное имя. Если нужна особая внутренняя доменная зона провайдера, то создавайте Forward-зону.
5. Можно указывать DNS-серверы занимающиеся фильтрацией, если это необходимо (SkyDNS или Яндекс-DNS).
6. Если все DNS-серверы отключены или удалены, то DNS будет работать нормально (Ideco NGFW резолвит имена самостоятельно).
7. Если интернет-провайдер или вышестоящее устройство блокирует DNS-запросы, то использование стандартной конфигурации с корневыми серверами невозможно. Рекомендуем задать серверы вручную или использовать DNS-серверы, выданные подключению.
Если на рабочей станции пользователя указаны сторонние DNS-серверы (например, с целью обхода блокировок), включите опцию Перехват пользовательских DNS-запросов на вкладке Внешние DNS-серверы:
Опция включается глобально для всех хостов в локальной сети для избежания возможной подмены адреса ресурса при резолвинге его домена.
Также перехват позволит контролировать процесс резолвинга доменных имен в интернете исключительно средствами NGFW. Запрос будет перенаправлен на DNS-сервер NGFW, и он же сформирует ответ (вместо исходного DNS-сервера).
Перехват DNS-запросов также блокирует возможность туннелирования через DNS (DNS-tunneling) и блокирует использование DNS-over-TLS.
При включенной опции Перехват пользовательских DNS-запросов трафик обрабатывается не как FORWARD, а как INPUT. Поэтому, если опция включена, для корректной фильтрации трафика модулями Контроль приложений и Предотвращение вторжений создайте правила INPUT для протоколов TCP и UDP с тем же профилем безопасности, источником и портом 53 в разделе Назначение.
При резолвинге через DNS-сервер NGFW будет возвращать адреса поисковых систем с включенной фильтрацией неподобающего контента.
