spedytor DNS¶

Konfiguracja spedytora DNS¶

aby skonfigurować spedytora DNS, przejdź do usługi > spedytor DNS

dostępne opcje dla spedytora DNS to:

Włącz

zaznaczenie tego pola włącza spedytora DNS, lub odznacz, aby wyłączyć tę funkcjonalność. DNS Forwarder i DNS Resolver nie mogą być aktywowane w tym samym czasie na tym samym porcie, więc wyłącz Resolver DNS lub przenieś oneservice lub inny na inny port przed próbą włączenia DNSForwarder.

Rejestracja DHCP

gdy jest aktywna, wewnętrzne nazwy maszyn dla klientów DHCP mogą być używane przy użyciu DNS. Działa to tylko dla klientów, którzy określają nazwę hosta w żądaniach DHCP. Nazwa domeny z systemu > jest używana jako nazwa domeny na hostach.

statyczne DHCP

działa to tak samo jak Register DHCP leases w DNS forwarder,z tym że zamiast tego rejestruje statyczne adresy mapowania DHCP.

preferuje DHCP

gdy jeden adres IP ma wiele nazw hostów, odwrócone wyszukiwanie może dać nieoczekiwany wynik, jeśli jedna z nazw hostów znajduje się w nadpisaniu hosta, a system używa innej nazwy hosta nad DHCP. Zaznaczenie tej opcji spowoduje umieszczenie nazw hostów uzyskanych przez DHCP nad statycznymi mapowaniami w pliku hosts na zaporze, co spowoduje, że będą one najpierw sprawdzane. Dotyczy to tylko reverselookups (PST), ponieważ zwracają one tylko pierwszy wynik, a nie wielokrotność. Na przykład, dałoby to wynik labserver01.example.com, DHCP serwera testowego uzyskanego adresu IP, a nie nazwę nadpisania hostatestwww.example.com, która byłaby zwracana w przeciwnym razie.

odpytywanie serwerów DNS kolejno

domyślnie zapora odpytywa wszystkie serwery Dnsserwery jednocześnie i wykorzystuje najszybszy wynik. Nie zawsze jest to możliwe, zwłaszcza jeśli istnieje lokalny serwer DNS z niestandardowymi nazwami hostów, które można ominąć za pomocą szybszego, ale publicznego serwera DNS. Sprawdzenie thisoption powoduje, że zapytania są wykonywane do każdego serwera DNS w kolejności od góry, a firewall czeka na limit czasu przed przejściem do następnego DNSserver na liście.

wymaga domeny

wymaga, aby nazwa domeny w nazwach hostów była przekazywana do serwerów upstreamDNS. Hosty bez nazwy będą nadal sprawdzane pod kątem wyników hostoverrides i DHCP, ale nie będą sprawdzane pod kątem serwerów nazw skonfigurowanych w zaporze. Zamiast tego, jeśli krótka nazwa hosta nie występuje lokalnie, wynik NXDOMAIN („Not Found”) jest zwracany do klienta.

nie przekierowuj prywatnych odwrotnych wyszukiwań

Gdy zaznaczone, ta opcja uniemożliwiadnsmasq wykonywanie odwrotnych wyszukiwań DNS (rekord PTR) dla prywatnych adresów RFC1918 do zewnętrznych serwerów nazw. Nadal będzie zwracać wyniki z lokalnych wpisów. 1.168.192 .in-addr.arpa, dzięki czemu zapytania o konkretną sieć będą nadal wysyłane do określonego serwera DNS.

port nasłuchiwania

domyślnie spedytor DNS nasłuchuje na portach TCP i UDP 53.Jest to normalne dla każdego serwera DNS, ponieważ jest to port, z którego będą próbowali korzystać klienci.Istnieją przypadki,w których pożądane jest przeniesienie spedytora DNS do innego portu nasłuchowego, takiego jak 5353 lub 54, a następnie konkretne zapytania mogą być przekazywane przez port do przodu.

Interfejsy

domyślnie spedytor DNS nasłuchuje na każdym dostępnym interfejsie i wszystkich dostępnych adresach IPv4 i IPv6. Kontrola interfejsu ogranicza przestrzenie, w których spedytor DNS będzie akceptował i odpowiadał na zapytania. Może to być wykorzystane do zwiększenia bezpieczeństwa oprócz reguł zapory. Jeśli wybrana jest konkretna interfejs, zarówno adresy IPv4, jak i IPv6 na tym interfejsie będą używane do odpowiadania na zapytania. Zapytania wysyłane do innych adresów IP na Firewall będą po cichu odrzucane.

ścisłe powiązanie interfejsu

gdy jest ustawione, spedytor DNS będzie wiązał się tylko z interfejsami zawierającymi adresy IP wybrane w kontroli interfejsu,zamiast wiązać ze wszystkimi interfejsami i odrzucać zapytania do innych adresów. Może to być użyte podobnie do portu nasłuchowego do kontrolowania sposobu, w jaki usługa wiąże się, aby mogła współistnieć z innymi usługami DNS, które mają podobne opcje.