Configuration du Transitaire DNS¶
Pour configurer le Transitaire DNS, accédez à Services > Transitaire DNS
Les options disponibles pour le Transitaire DNS sont les suivantes :
Activer
En cochant cette case, le Transitaire DNS est activé ou décochez pour désactivez cette fonctionnalité. Le transitaire DNS et le résolveur DNS ne peuvent pas tous les deux être activés en même temps sur le même port, désactivez donc le résolveur DNS ou déplacez oneservice ou l’autre sur un port différent avant de tenter d’activer le DNSForwarder.
Enregistrement DHCP
Lorsqu’il est actif, les noms de machines internes pour les clients DHCP peuvent être résolus à l’aide du DNS. Cela ne fonctionne que pour les clients qui spécifient un nom d’hôte dans leurs requêtes DHCP. Le nom de domaine de la configuration générale du système > est utilisé comme nom de domaine sur les hôtes.
DHCP statique
Cela fonctionne de la même manière que le registre des baux DHCP dans le transitaire DNS, sauf qu’il enregistre les adresses de mappage statiques DHCP à la place.
Préférez DHCP
Lorsqu’une adresse IP a plusieurs noms d’hôte, effectuer une recherche inverséepeut donner un résultat inattendu si l’un des noms d’hôte est dans les remplacements d’hôte etle système utilise un autre nom d’hôte sur DHCP. La vérification de cette option placera les noms d’hôte obtenus par DHCP au-dessus des mappages statiques dans le fichier hosts sur le pare-feu, ce qui les obligera à être consultés en premier. Cela n’affecte que reverselookups (PTR), car ils ne renvoient que le premier résultat et non plusieurs. Par exemple, cela donnerait un résultat de labserver01.example.com, l’adresse IP DHCP obtenue par un serveur de test, plutôt qu’un nom de remplacement d’hôte de testwww.example.com qui serait renvoyé autrement.
Interroger séquentiellement les serveurs DNS
Par défaut, le pare-feu interroge tous les serveurs DNSservers simultanément et utilise le résultat le plus rapide. Ce n’est pas toujours souhaitable, surtout s’il existe un serveur DNS local avec des noms d’hôte personnalisés qui pourrait être contourné en utilisant un serveur DNS plus rapide mais public. La vérification de cette option entraîne l’envoi de requêtes à chaque serveur DNS en séquence à partir du sommet, et le pare-feu attend un délai d’attente avant de passer au serveur DNSserver suivant dans la liste.
Require domain
Nécessite qu’un nom de domaine sur les noms d’hôte soit transmis aux serveurs upstreamDNS. Les hôtes sans nom seront toujours vérifiés par rapport aux résultats hostoverrides et DHCP, mais ils ne seront pas interrogés par rapport aux serveurs de noms configurés sur le pare-feu. Au lieu de cela, si un nom d’hôte court n’existe pas localement, un résultat NXDOMAIN (« Introuvable ») est renvoyé au client.
Ne transférez pas les recherches inverses privées
Une fois cochée, cette option empêche dnsmasq d’effectuer des recherches DNS inversées (enregistrement PTR) pour les adresses privateIP RFC1918 aux serveurs de noms en amont. Il retournera toujours les résultats des entrées locales. Il est possible d’utiliser une entrée de substitution de domaine pour la zone reverselookup, par exemple 1.168.192 .in-addr.arpa, afin que les requêtes pour un sous-réseau spécifique soient toujours envoyées à un serveur DNS spécifique.
Port d’écoute
Par défaut, le transitaire DNS écoute sur les ports TCP et UDP 53.C’est normal pour tout serveur DNS, car c’est le port que les clients vont essayer d’utiliser.Dans certains cas, il est souhaitable de déplacer le transitaire DNS vers un autre port d’écoute, tel que 5353 ou 54, puis des requêtes spécifiques peuvent y être redirigées via des transferts de port.
Interfaces
Par défaut, le transitaire DNS écoute toutes les interfaces disponibles et toutes les adresses IPv4 et IPv6 disponibles. Le contrôle d’interface limite les interfaces où l’expéditeur DNS acceptera et répondra aux requêtes. Cela peut être utilisé pour augmenter la sécurité en plus des règles de pare-feu. Si une interface spécifique est sélectionnée, les adresses IPv4 et IPv6 de cette interface seront utilisées pour répondre aux requêtes. Les requêtes envoyées à d’autres adresses IP sur le firewall seront ignorées en silence.
Liaison d’interface stricte
Une fois défini, le transitaire DNS se liera uniquement aux interfaces contenant les adresses IP sélectionnées dans le contrôle d’interface, plutôt que de se lier à toutes les interfaces et de rejeter les requêtes vers d’autres adresses. Cela peut être utilisé de la même manière que le port d’écoute pour contrôler la manière dont le service se lie afin qu’il puisse coexister avec d’autres services DNS qui ont des options similaires.
Remarque
Cette option n’est pas compatible avec IPv6 dans la version actuelle du démon de transitaire DNS, dnsmasq. Si cette option est cochée, le processus dnsmasq ne se liera à aucune adresse IPv6.
Options avancées¶
Les paramètres de configuration dnsmasq personnalisés qui ne sont pas configurables dans l’interface graphique peuvent être placés dans Options avancées. Par exemple, pour définir un TTL inférieur pour DNSrecords, entrez max-ttl=30. Ou créez un enregistrement DNS générique pour résoudre .lab.example.com en 192.2.5.6 en spécifiant address=/lab.example.com/192.2.5.6.
Séparez les commandes par un espace ou une nouvelle ligne. Pour plus d’informations sur les paramètres possibles pouvant être utilisés, consultez la documentation dnsmasq.
Les remplacements d’hôte¶
Les entrées de remplacement d’hôte permettent de configurer des entrées DNS personnalisées. La configuration est identique aux remplacements d’hôtes dans le résolveur DNS, reportez-vous là pour plus de détails.
Remplacements de domaine¶
Remplacements de domaine configurez un autre serveur DNS à utiliser pour résoudre un domaine spécifique. La configuration est identique aux surcharges de domaine dans le résolveur DNS, avec quelques légères différences:
Domaine
Le champ Domaine définit le nom de domaine qui sera résolu à l’aide de thisentry. Cela ne doit pas nécessairement être un TLD valide, cela peut être n’importe quoi (par ex.local, test, lab), ou il peut s’agir d’un nom de domaine réel (example.com).
Adresse IP
Ce champ peut être utilisé de trois manières. Tout d’abord, il peut être utilisépour spécifier l’adresse IP du serveur DNS auquel les requêtes pour les noms d’utilisateur du domaine sont envoyées. Deuxièmement, il peut être utilisé pour remplacer un autreentry en entrant #. Par exemple, pour transférer example.com vers 192.2.66.2, mais pour transférer lab.example.com vers les serveurs de noms standard, entrez un # dans ce champ. Troisièmement, il peut être utilisé pour empêcher les recherches non locales en entrant un !. Si des entrées de remplacement d’hôte existent pour www.example.org et mail.example.org, mais d’autres recherches pour hostsunder example.org ne doit pas être transmis à des serveurs DNS distants, entrez un ! dans ce champ.
IP source
Ce champ est facultatif et principalement utilisé pour contacter un serveur DNS via un VPN. En règle générale, seules des adresses IP locales spécifiques peuvent traverser un VPN, ce champ spécifie quelle adresse IP du pare-feu est utilisée pour extraire le DNS afin que les requêtes passent correctement.
Description
Description textuelle utilisée pour identifier ou donner plus d’informations sur cette entrée.