DNS Forwarder¶

Configurazione DNS Forwarder¶

Per configurare lo Spedizioniere DNS, passare a Servizi > DNS Forwarder

Le opzioni disponibili per lo Spedizioniere DNS sono:

Abilita

Selezionando questa casella si attiva lo spedizioniere DNS, o deseleziona disabilita questa funzionalità. Lo spedizioniere DNS e il resolver DNS non possono essere attivi contemporaneamente sulla stessa porta, quindi disabilitare il Resolver DNS o spostare oneservice o l’altro su una porta diversa prima di tentare di abilitare DNSForwarder.

Registrazione DHCP

Quando attivo, i nomi delle macchine interne per i client DHCP possono essere risolti utilizzando DNS. Questo funziona solo per i client che specificano un nome host nelle loro richieste DHCP. Viene utilizzato il nome di dominio da System > General Setupcome nome di dominio sugli host.

DHCP statico

Funziona come lease di registro DHCP in DNS forwarder,tranne per il fatto che registra invece gli indirizzi di mappatura statica DHCP.

Preferisci DHCP

Quando un indirizzo IP ha più nomi host, fare una ricerca inversa può dare un risultato inaspettato se uno dei nomi host è in host sovrascrive e il sistema utilizza un altro nome host su DHCP. Selezionando questa opzione si posizionano i nomi host DHCP ottenuti sopra i mapping statici nel file hosts sul firewall, facendoli consultare per primi. Ciò riguarda solo reverselookups (PTR), poiché restituiscono solo il primo risultato e non più. Ad esempio, ciò produrrebbe un risultato di labserver01.example.com, l’indirizzo IP ottenuto da DHCP di un testserver, piuttosto che un nome di override dell’host ditestwww.example.com che verrebbe restituito altrimenti.

Interroga i server DNS in sequenza

Per impostazione predefinita, il firewall interroga tutti i server DNSS contemporaneamente e utilizza il risultato più veloce. Questo non è alwaysdesirable, specialmente se c’è un server DNS locale con nomi host personalizzati che potrebbe essere bypassato utilizzando un server DNS più veloce ma pubblico. Il controllo di thisoption fa sì che le query vengano effettuate a ciascun server DNS in sequenza dall’alto verso il basso e il firewall attende un timeout prima di passare al successivo DNSserver nell’elenco.

Richiedi dominio

Richiede un nome di dominio sui nomi host da inoltrare ai server upstreamDNS. Gli host senza nome verranno comunque controllati rispetto ai risultati hostoverrides e DHCP, ma non verranno interrogati rispetto ai server dei nomi configurati sul firewall. Invece, se un nome host breve non esiste localmente, un risultato NXDOMAIN (“Non trovato”) viene restituito al client.

Non inoltrare ricerche private inverse

Se selezionata, questa opzione impedisce adnsmasq di effettuare ricerche DNS inverse (record PTR) per gli indirizzi RFC1918 privateIP ai server dei nomi upstream. Restituirà comunque risultati dalle voci locali. È possibile utilizzare una voce di override del dominio per la zona reverselookup, ad esempio 1.168.192 .in-addr.arpa, in modo che le query per una specifica subnet vengano comunque inviate a un server DNS specifico.

Porta di ascolto

Per impostazione predefinita, lo spedizioniere DNS ascolta sulla porta TCP e UDP 53.Questo è normale per qualsiasi server DNS, in quanto i client di porta cercheranno di utilizzare.Ci sono alcuni casi in cui è auspicabile spostare lo spedizioniere DNS su un’altra porta di ascolto,ad esempio 5353 o 54, e quindi è possibile inoltrare query specifiche tramite port forward.

Interfacce

Per impostazione predefinita, lo spedizioniere DNS è in ascolto su tutte le interfacce disponibili e su tutti gli indirizzi IPv4 e IPv6 disponibili. Il controllo dell’interfaccia limita leinterfacce in cui lo spedizioniere DNS accetterà e risponderà alle query. Questo canbe utilizzato per aumentare la sicurezza in aggiunta alle regole del firewall. Se è selezionata un’interfaccia specifica, gli indirizzi IPv4 e IPv6 su tale interfaccia verranno utilizzati per rispondere alle query. Le query inviate ad altri indirizzi IP sulfirewall verranno automaticamente scartate.

Strict Interface Binding

Quando impostato, lo spedizioniere DNS si legherà solo alle interfacce contenenti gli indirizzi IP selezionati nel controllo dell’interfaccia,anziché associare a tutte le interfacce e scartare le query ad altri indirizzi. Questo può essere usato in modo simile alla porta di ascolto per controllareil modo in cui il servizio si lega in modo che possa coesistere con altri servizi DNS che hanno opzioni simili.

Nota

Questa opzione non è compatibile con IPv6 nella versione corrente del demone DNS Forwarder, dnsmasq. Se questa opzione è selezionata, dnsmasqprocess non verrà associato a nessun indirizzo IPv6.

Opzioni avanzate¶

Parametri di configurazione dnsmasq personalizzati che non sono configurabili nella GUI possono essere inseriti in Opzioni avanzate. Ad esempio, per impostare un TTL inferiore per DNSrecords, immettere max-ttl=30. Oppure crea un record DNS wild card per risolvere.lab.example.com a 192.2.5.6 specificandoaddress=/lab.example.com/192.2.5.6.

Comandi separati da uno spazio o da una nuova riga. Per ulteriori informazioni sui possibili parametri che possono essere utilizzati, consultare la documentazione dnsmasq.

Le sostituzioni host¶

Le voci di override host forniscono un mezzo per configurare le voci DNS personalizzate. La configurazione è identica alle sostituzioni host nel Resolver DNS, fare riferimento qui per i dettagli.

Sostituzioni dominio¶

Sostituzioni dominio configurare un server DNS alternativo da utilizzare per la risoluzione di un dominio specifico. La configurazione è identica a Domain Overridesin il Resolver DNS, con alcune leggere differenze:

Dominio

Il campo Dominio imposta il nome di dominio che verrà risolto utilizzando thisentry. Questo non deve essere un TLD valido, può essere qualsiasi cosa (ad esempiolocal, test, lab), oppure può essere un nome di dominio effettivo (example.com).

Indirizzo IP

Questo campo può essere utilizzato in tre modi. Innanzitutto, può essere utilizzatoper specificare l’indirizzo IP del server DNS a cui vengono inviate le query per i nomi degli host nel dominio. In secondo luogo, può essere utilizzato per sovrascrivere anotherentry inserendo #. Ad esempio, per inoltrare example.com a192.2.66.2, ma avere lab.example.com inoltrato ai server dei nomi standard, immettere un # in questo campo. In terzo luogo, può essere utilizzato per prevenirele ricerche non locali inserendo un !. Se le voci di override host esistono perwww.example.org e mail.example.org , ma altre ricerche per hostsunder example.org non deve essere inoltrato a server DNS remoti, immettere un! in questo campo.

IP sorgente

Questo campo è facoltativo e viene utilizzato principalmente per contattare un server DNS attraverso una VPN. In genere solo specifici indirizzi IP locali sono in grado di attraversareuna VPN, questo campo specifica quale indirizzo IP sul firewall viene utilizzato per originare il DNS in modo che le query passino correttamente.

Descrizione

Una descrizione testuale utilizzata per identificare o fornire maggiori informazioni su questa voce.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Previous post Sicurezza dei bambini
Next post Notice To Owner Issues