Configuración del Reenviador de DNS¶
Para configurar el Reenviador de DNS, vaya a Servicios > Reenviador de DNS
Las opciones disponibles para el Reenviador de DNS son:
Habilitar
deshabilita esta funcionalidad. El reenviador de DNS y el Solucionador de DNS no pueden activarse al mismo tiempo en el mismo puerto, así que deshabilite el Solucionador de DNS o mueva oneservice u otro a un puerto diferente antes de intentar habilitar el DNSForwarder.
Registro DHCP
Cuando está activo, los nombres internos de máquina para clientes DHCP se pueden resolver mediante DNS. Esto solo funciona para clientes que especifican un nombre de host en sus solicitudes DHCP. El nombre de dominio de System > Configuración general se utiliza como el nombre de dominio de los hosts.
DHCP estático
Esto funciona de la misma manera que Register DHCP leases en el reenviador DNS,excepto que registra las direcciones de asignación estática DHCP en su lugar.
Prefiera DHCP
Cuando una dirección IP tiene varios nombres de host, hacer una búsqueda inversa puede dar un resultado inesperado si uno de los nombres de host está en sobreescrituras de host y el sistema usa otro nombre de host sobre DHCP. Al marcar esta opción, los nombres de host obtenidos por DHCP se colocarán por encima de las asignaciones estáticas en el archivo de hosts en el cortafuegos, haciendo que se consulten primero. Esto solo afecta a las búsquedas inversas (RPP), ya que solo devuelven el primer resultado y no múltiples. Por ejemplo, esto produciría un resultado de labserver01.example.com
, el DHCP de un servidor de pruebas obtuvo la dirección IP, en lugar de un nombre de anulación de host detestwww.example.com
que se devolvería de otro modo.
Consultar servidores DNS secuencialmente
De forma predeterminada, el firewall consulta todos los servidores DNSS simultáneamente y utiliza el resultado más rápido. Esto no siempre es deseable, especialmente si hay un servidor DNS local con nombres de host personalizados que podría omitirse mediante el uso de un servidor DNS público más rápido. Al marcar esta opción, se realizan consultas a cada servidor DNS en secuencia desde la parte superior, y el firewall espera un tiempo de espera antes de pasar al siguiente servidor DNSS de la lista.
Requerir dominio
Requiere que un nombre de dominio en los nombres de host se reenvíe a los servidores upstreamDNS. Los hosts sin nombre seguirán comparándose con hostoverrides y resultados DHCP, pero no se consultarán con los servidores de nombres configurados en el firewall. En su lugar, si un nombre de host corto no existe localmente, se devuelve al cliente un resultado de dominio NX («No encontrado»).
No reenviar búsquedas inversas privadas
Cuando está marcada, esta opción evita quednsmasq
realice búsquedas DNS inversas (Registro PTR) para direcciones RFC1918 privateIP a servidores de nombres ascendentes. Todavía devolverá resultados de entradas locales. Es posible usar una entrada de anulación de dominio para la zona de búsqueda inversa, por ejemplo, 1.168.192 .in-addr.arpa
, de modo que las consultas para una subred específica se sigan enviando a un servidor DNS específico.
Puerto de escucha
De forma predeterminada, el reenviador DNS escucha en los puertos TCP y UDP 53
.Esto es normal para cualquier servidor DNS, ya que es el puerto que los clientes intentarán usar.Hay algunos casos en los que es deseable mover el reenviador de DNS a otro puerto de escucha,como 5353 o 54, y luego se pueden reenviar consultas específicas allí a través de reenvíos de puertos.
Interfaces
De forma predeterminada, el reenviador de DNS escucha en cada interfaz disponible y en todas las direcciones IPv4 e IPv6 disponibles. El control de interfaz limita las interfaces donde el reenviador de DNS aceptará y responderá las consultas. Esto se puede usar para aumentar la seguridad además de las reglas de firewall. Si se selecciona una interfaz específica, se utilizarán las direcciones IPv4 e IPv6 de esa interfaz para responder consultas. Las consultas enviadas a otras direcciones IP en la pared de fuego se descartarán silenciosamente.
Enlace de interfaz estricto
Cuando se establece, el reenviador DNS solo se vinculará a las interfaces que contengan las direcciones IP seleccionadas en el control de interfaz,en lugar de vincularse a todas las interfaces y descartar consultas a otras direcciones. Esto se puede usar de manera similar al Puerto de escucha para controlar la forma en que el servicio se enlaza para que pueda coexistir con otros servicios DNS que tienen opciones similares.
Nota
Esta opción no es compatible con IPv6 en la versión actual del demonio reenviador de DNS, dnsmasq
. Si esta opción está marcada, el proceso dnsmasq no se enlazará a ninguna dirección IPv6.
Opciones avanzadas¶
Los parámetros de configuración de dnsmasq personalizados que no se pueden configurar en la interfaz gráfica de usuario se pueden colocar en Opciones avanzadas. Por ejemplo, para establecer un TTL inferior para DNSrecords, introduzca max-ttl=30
. O cree un registro DNS de comodín para resolver.lab.example.com
a 192.2.5.6
especificandoaddress=/lab.example.com/192.2.5.6
.
Separe los comandos mediante un espacio o una nueva línea. Para obtener más información sobre los parámetros posibles que se pueden utilizar, consulte la documentación de dnsmasq.
Las entradas de anulación de host¶
proporcionan un medio para configurar entradas DNS personalizadas. La configuración es idéntica a las sobreescrituras de Host en el solucionador DNS, consulte allí para obtener más detalles.
Invalidaciones de dominio¶
Invalidaciones de dominio configure un servidor DNS alternativo para usar para resolver un dominio específico. La configuración es idéntica a las Sobreescrituras de dominio en el Solucionador DNS, con algunas ligeras diferencias:
Dominio
El campo Dominio establece el nombre de dominio que se resolverá mediante esta entrada. Esto no tiene que ser un TLD válido, puede ser cualquier cosa (p.ej.local
, test
, lab
), o puede ser un nombre de dominio real (example.com
).
Dirección IP
Este campo se puede usar de una de tres maneras. En primer lugar, se puede utilizar para especificar la dirección IP del servidor DNS al que se envían las consultas de nombres de host en el Dominio. En segundo lugar, se puede usar para anular otra entrada introduciendo #
. Por ejemplo, para reenviar example.com
a192.2.66.2
, pero tener lab.example.com
reenviar a los servidores de nombres estándar, ingrese un #
en este campo. En tercer lugar, se puede usar para prevenir búsquedas no locales ingresando un !
. Si existen entradas de anulación de host parawww.example.org
y mail.example.org
, pero otras búsquedas para hostsunder example.org no se debe reenviar a servidores DNS remotos, ingrese un !
en este campo.
IP de origen
Este campo es opcional y se utiliza principalmente para contactar un servidor DNS a través de una VPN. Por lo general, solo las direcciones IP locales específicas pueden atravesar una VPN, este campo especifica qué dirección IP en el firewall se utiliza para generar el DNS para que las consultas pasen correctamente.
Descripción
Descripción de texto utilizada para identificar o dar más información sobre esta entrada.