DNS篇(7.0) 02. DNS服务器 ❀ 飞塔 (Fortinet) 防火墙

Posted meigang2012

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DNS篇(7.0) 02. DNS服务器 ❀ 飞塔 (Fortinet) 防火墙相关的知识,希望对你有一定的参考价值。

  【简介】前面说过,如果是单纯的访问互联网,不建议用FortiGate做DNS服务器,因为会占用防火墙的CPU和内存,影响性能。如果防火墙性能足够强劲,而又需要将域名解析成内网IP地址,那么还是可以通过FortiGate防火墙的DNS服务器功能来完成的。


  DNS服务器

  防火墙的DNS服务器菜单,默认是隐藏的。

  ① 选择菜单【系统管理】-【可见功能】,启用【DNS数据库】。

  ② 选择菜单【网络】-【DNS服务器】,在DNS数据库子项中点击【新建】。

  ③ 类型默认设置为【主用】,查看默认设置为【Shadow】。这两个选项的功能是查看设置控制DNS服务器的可访问性。选择【Public】表示外部用户可以访问或使用DNS服务器。如果你选择【Shadow】,则只有内部用户可以使用它。输入DNS区域名称和域名,这两个都可以是自定义的,关闭权威。在DNS条目中点击新建。

  ③ 弹出新建DNS条目窗口,输入主机名,会根据前面设置的域名自动生成FQDN。再输入对应的IP地址。也就是说,这个domain.oldmei.com域名,解析后得到的IP地址 172.16.198.254。点击【确认】。 

  ④ 根据实际需要可以建立多个DNS条目,你可以为每个需要访问的IP建立一个域名。这样的话,以后只要用域名就可以访问。为什么要这样做?因为如果IP有变更了,只要在防火墙上修改一下DNS条目就可以了,而在应用软件中使用的域名没有变更,这样就可以最大限度的缩小由于IP变更的造成的影响了。

  ⑤ DNS数据库只适用于内网中的域名识别,如果还要识别公网域名的话,还要继续操作。点击接口上的DNS服务子项中的【新建】。

  ⑥ 在新建DNS服务窗口,接口选择内网接口,模式默认为【递归】。

  ● 递归:对FortiGate DNS数据库中条目的查询进行应答,并将所有其他查询转发到单独的DNS服务器进行解析。

  ● 非递归:对FortiGate DNS数据库中条目的查询进行应答,不转发不可解析的查询。

  ● 转发至系统DNS:将所有查询转发到一个单独的DNS服务器(你已经在网络> DNS中配置);即充当DNS中继而不是DNS服务器。

  能理解递归模式的含义吧,在电脑发起域名查询时,先访问FortiGate防火墙的DNS数据库,如果没有查询到,再使用防火墙的系统DNS去查询。

  ⑦ 也可以根据需要,在多个接口上启用DNS服务。

  DNS与接口

  我们已经知道递归的作用是先查询FortiGate的DNS服务器,再查询系统DNS,那么系统DNS在是哪一个?

  ① 选择菜单【网络】-【DNS】,如果防火墙连接是PPPoE拨号宽带,会看到有显示动态获得DNS服务器。象这里电信和移动拨号得到不同的DNS,那么系统DNS是哪一个?当然是电信了,所以我们能看到电信DNS的测试时间是10ms,而移动DNS为不可达。

  ② 由于运营商的DNS并不通用,为了能解决这个问题,我们可以使用通用的DNS。DNS服务器选择【设置】,主备DNS分别设置为8.8.8.8、114.114.114.114。虽然解析时间变长了,但是电信和移动宽带都可以正确解析了。至于为什么主DNS用8.8.8.8,而不是用国内的DNS,这是因为防火墙还要解析FortiGuard服务器的域名,而国内DNS解析不出IP地址或得到的是错误IP地址,这样直接造成的影响就是FortiGuard服务器连接不上,无法更新服务信息。

  ③ 选择菜单【网络】-【接口】,接口在启用DHCP服务器的情况下,将DNS服务器设置为【与接口IP地址相同】。这样自动获取的IP中DNS就会是该接口IP地址了。除了自动获取DNS外,也可以手动设置DNS地址指定接口IP。

  验证

  所有配置完成了,我们看看新建的域名能不能正确解析出来。

  ① 在防火墙CLI命令窗口Ping domain和firewall两个域名,都可以成功的解析出IP。

  ② 同样FortiGuard服务器也可能正确解析,这样就不会影响FortiGuard服务了,百度网站也可以解析,说明上网没有问题了。

  ③ 我们还可以用dianose test application dnsproxy命令做更多操作。

  ④ 例如用dianose test application dnsproxy 2查询DNS状态。

  ⑤ 例如用dianose test application dnsproxy 13查看主机名缓存。这里我们可以看到DNS条目数是5000,DNS缓存保留信息的时间为86400秒(一天)。

  ⑥ 如果确定要将FortiGate作为DNS服务器使用,可以将DNS缓存设置大一些。

  ⑦ 用dianose test application dnsproxy 3命令查看到缓存变大了。

  ⑧ 找一台该接口下的电脑,将DNS指向防火墙接口IP。

  ⑨ 在Winbdows的DOS命令窗口下,Ping两个自定义的域名,都可以解析到内网IP地址。

  ⑩ 同样公网域名也能正常解析,FortiGate就充当了DNS服务器,即解析了内网域名,又能解析公网域名。但是,如果有大量上网需求,或防火墙性能不够,不建议这样做。


以上是关于DNS篇(7.0) 02. DNS服务器 ❀ 飞塔 (Fortinet) 防火墙的主要内容,如果未能解决你的问题,请参考以下文章

DNS篇(7.0) 04. FortiGuard动态DNS (DDNS) ❀ 飞塔 (Fortinet) 防火墙

验证篇(7.0) 02. Windows Server 2022域组织单位用户与组 ❀ 飞塔 (Fortinet) 防火墙

SD-WAN篇(7.0) ❀ 06. 如何选择合适的DNS?

(FortiGate)飞塔防火墙DNS转发和NS记录设置步骤

SNMP篇(7.0) 02. iReasoning查看FortiGate MIB ❀ 飞塔 (Fortinet) 防火墙

认证篇(7.0) 02. 无线Guest用户免输密码 ❀ 飞塔 (Fortinet) 防火墙