DNS Forwarder Configuration¶
Um den DNS Forwarder zu konfigurieren, navigieren Sie zu Services > DNS Forwarder
Die verfügbaren Optionen für den DNS Forwarder sind:
Aktivieren
Wenn Sie dieses Kontrollkästchen aktivieren, wird der DNS Forwarder aktiviert, oder deaktivieren Sie das Kontrollkästchen, um diese Funktionalität zu deaktivieren. Deaktivieren Sie daher den DNS-Resolver oder verschieben Sie den einen oder anderen Dienst an einen anderen Port, bevor Sie versuchen, den DNSForwarder zu aktivieren.
DHCP-Registrierung
Wenn aktiv, können interne Rechnernamen für DHCP-Clients mithilfe von DNS aufgelöst werden. Dies funktioniert nur für Clients, die in ihren DHCP-Anforderungen einen Hostnamen angeben. Der Domänenname von System > General Setup wird als Domänenname auf den Hosts verwendet.
Statisches DHCP
Dies funktioniert genauso wie Register DHCP leases in DNS forwarder, mit der Ausnahme, dass stattdessen die statischen DHCP-Zuordnungsadressen registriert werden.
DHCP bevorzugen
Wenn eine IP-Adresse mehrere Hostnamen hat, kann eine umgekehrte Suche zu einem unerwarteten Ergebnis führen, wenn sich einer der Hostnamen in Host Overrides befindet und das System einen anderen Hostnamen über DHCP verwendet. Wenn Sie diese Option aktivieren, werden die von DHCP erhaltenen Hostnamen über den statischen Zuordnungen in der Hosts-Datei der Firewall platziert, sodass sie zuerst konsultiert werden. Dies betrifft nur reverselookups (PTR), da sie nur das erste Ergebnis und nicht mehrere zurückgeben. Dies würde beispielsweise ein Ergebnis von labserver01.example.com , der DHCP-IP-Adresse eines Testservers, anstelle eines Host-Override-Namens vontestwww.example.com ergeben, der andernfalls zurückgegeben würde.
DNS-Server nacheinander abfragen
Standardmäßig fragt die Firewall alle DNSServer gleichzeitig ab und verwendet das schnellste Ergebnis. Dies ist nicht immer wünschenswert, insbesondere wenn es einen lokalen DNS-Server mit benutzerdefinierten Hostnamen gibt, der durch die Verwendung eines schnelleren, aber öffentlichen DNS-Servers umgangen werden könnte. Wenn Sie diese Option aktivieren, werden nacheinander Abfragen an jeden DNS-Server von oben nach unten durchgeführt, und die Firewall wartet auf ein Timeout, bevor Sie zum nächsten DNSServer in der Liste übergeht.
Require domain
Erfordert, dass ein Domänenname auf Hostnamen an upstreamDNS-Server weitergeleitet wird. Hosts ohne Namen werden weiterhin mit Hostoverrides- und DHCP-Ergebnissen verglichen, aber nicht mit den in der Firewall konfigurierten Nameservern abgefragt. Wenn ein kurzer Hostname lokal nicht vorhanden ist, wird stattdessen ein NXDOMAIN-Ergebnis („Not Found“) an den Client zurückgegeben.
Private Reverse Lookups nicht weiterleiten
Wenn diese Option aktiviert ist, verhindert diese Option, dassdnsmasq Reverse DNS (PTR Record)-Lookups für RFC1918 privateIP-Adressen an Upstream-Nameserver durchführt. Es werden weiterhin Ergebnisse von lokalen Einträgen zurückgegeben. Es ist möglich, einen Domain-Override-Eintrag für die Reverselookup-Zone zu verwenden, z. B. 1.168.192 .in-addr.arpa , sodass Abfragen für ein bestimmtes Subnetz weiterhin an einen bestimmten DNS-Server gesendet werden.
Listen-Port
Standardmäßig überwacht die DNS-Weiterleitung den TCP- und UDP-Port 53.Dies ist normal für jeden DNS-Server, da dies der Port ist, den Clients zu verwenden versuchen.Es gibt einige Fälle, in denen das Verschieben der DNS-Weiterleitung an einen anderen Listen-Port, z. B. 5353 oder 54, wünschenswert ist und dann bestimmte Abfragen über Port-Weiterleitungen dorthin weitergeleitet werden können.
Schnittstellen
Standardmäßig überwacht die DNS-Weiterleitung jede verfügbare Schnittstelle und alle verfügbaren IPv4- und IPv6-Adressen. Die Schnittstellensteuerung begrenzt dieschnittstellen, an denen die DNS-Weiterleitung Abfragen akzeptiert und beantwortet. Dies kann verwendet werden, um die Sicherheit zusätzlich zu Firewall-Regeln zu erhöhen. Wenn eine bestimmte Schnittstelle ausgewählt ist, werden sowohl die IPv4- als auch die IPv6-Adresse dieser Schnittstelle zur Beantwortung von Abfragen verwendet. Abfragen, die an andere IP-Adressen auf der Firewall gesendet werden, werden stillschweigend verworfen.
Strikte Schnittstellenbindung
Wenn festgelegt, bindet die DNS-Weiterleitung nur an die Schnittstellen, die die im Schnittstellensteuerelement ausgewählten IP-Adressen enthalten, anstatt an alle Schnittstellen zu binden und Abfragen an andere Adressen zu verwerfen. Dies kann ähnlich wie der Listen-Port zur Steuerung der Art und Weise verwendet werden, wie der Dienst gebunden wird, sodass er mit anderen DNS-Diensten koexistieren kann, die ähnliche Optionen haben.
Hinweis
Diese Option ist in der aktuellen Version des DNS Forwarder-Daemons dnsmasq nicht mit IPv6 kompatibel. Wenn diese Option aktiviert ist, wird der dnsmasqprocess nicht an IPv6-Adressen gebunden.
Erweiterte Optionen¶
Benutzerdefinierte dnsmasq-Konfigurationsparameter, die in der GUI nicht konfigurierbar sind, können in den erweiterten Optionen platziert werden. Um beispielsweise eine niedrigere TTL für DNSrecords festzulegen, geben Sie max-ttl=30 ein. Oder erstellen Sie einen Platzhalter-DNS-Eintrag, um .lab.example.com in 192.2.5.6 aufzulösen, indem Sie address=/lab.example.com/192.2.5.6 angeben.
Trennen Sie Befehle entweder durch ein Leerzeichen oder einen Zeilenumbruch. Weitere Informationen zu den möglichen Parametern, die verwendet werden können, finden Sie in der dnsmasq-Dokumentation.
Host-Überschreibungen¶
Host-Überschreibungseinträge bieten eine Möglichkeit, benutzerdefinierte DNS-Einträge zu konfigurieren. Die Konfiguration ist identisch mit Host-Überschreibungen im DNS-Resolver.
Domänenüberschreibungen¶
Domänenüberschreibungen Konfigurieren Sie einen alternativen DNS-Server für die Auflösung einer bestimmten Domäne. Die Konfiguration ist identisch mit Domain Overridesim DNS-Resolver, mit einigen geringfügigen Unterschieden:
Domäne
Das Feld Domäne legt den Domänennamen fest, der mithilfe dieses Felds aufgelöst wird. Dies muss keine gültige TLD sein, es kann alles sein (z.local, test, lab), oder es kann ein tatsächlicher Domainname sein (example.com).
IP-Adresse
Dieses Feld kann auf drei Arten verwendet werden. Erstens kann es verwendet werdenum die IP-Adresse des DNS-Servers anzugeben, an den die Abfragen fürhostnames in Domain gesendet werden. Zweitens kann es verwendet werden, um anotherentry durch Eingabe von # zu überschreiben. Um beispielsweise example.com an192.2.66.2 weiterzuleiten, aber lab.example.com an die Standard-Nameserver weiterzuleiten, geben Sie in dieses Feld eine # ein. Drittens kann es verwendet werden, um nicht-lokale Lookups durch Eingabe einer ! zu verhindern. Wenn Host-Override-Einträge fürwww.example.org und mail.example.org vorhanden sind, aber andere Lookups für hosts. example.org darf nicht an entfernte DNS-Server weitergeleitet werden, geben Sie eine! in dieses Feld ein.
Quell-IP
Dieses Feld ist optional und wird hauptsächlich verwendet, um einen DNS-Server über ein VPN zu kontaktieren. Dieses Feld gibt an, welche IP-Adresse auf der Firewall verwendet wird, um das DNS zu beschaffen, damit die Abfragen ordnungsgemäß ausgeführt werden.
Beschreibung
Eine Textbeschreibung, die verwendet wird, um diesen Eintrag zu identifizieren oder weitere Informationen zu geben.