À propos du Transfert DNS
Vous pouvez configurer votre Firebox de manière à transférer les requêtes DNS des ordinateurs de votre réseau vers un serveur DNS. Vous pouvez par exemple utiliser le transfert DNS de manière à envoyer les requêtes DNS d'une filiale vers un serveur DNS distant situé au siège.
Le transfert DNS conditionnel peut améliorer le temps de réponse des requêtes DNS. Si vous possédez des ressources dans le nuage, vous utilisateurs peuvent s'y connecter plus rapidement, car :
- Certains fournisseurs de services en nuage utilisent la géolocalisation pour sélectionner le centre de données auquel vous vous connectez. Lorsque vous vous connectez à un serveur DNS proche de votre emplacement, votre fournisseur de nuage peut vous connecter à son centre de données le plus proche.
- Le Firebox met en cache les résultats des requêtes DNS.
Cette rubrique explique les points suivants :
- Serveurs DNS de votre Firebox
- Transfert DNS
- Redirection DNS conditionnelle
- Comment désactiver le cache DNS
Dans Fireware v11.12.1 ou les versions antérieures, vous pouvez uniquement activer le transfert DNS depuis la ligne de commande et le transfert DNS conditionnel n'est pas pris en charge. Si vous avez activé le transfert DNS avant de mettre Fireware à niveau vers la version v11.12.2, le transfert DNS reste activé, mais ses fonctionnalités évoluent, comme indiqué dans cette rubrique. Pour obtenir des instructions afin d'activer le transfert DNS dans Fireware v11.12.1 et les versions antérieures, consultez la rubrique Activation du transfert DNS de la Base de Connaissances WatchGuard.
Serveurs DNS de Votre Firebox
Les serveurs DNS suivants peuvent être configurés sur votre Firebox :
- Serveur DNS Réseau — Serveur DNS par défaut de l'ensemble des interfaces et des processus locaux du Firebox
- Serveur DNS d'interface — Serveur DNS des interfaces spécifiées
- Serveur DNS conditionnel — Serveur DNS des noms de domaine et des interfaces spécifiées dans une règle de transfert DNS
- Serveur DNS assigné par votre Fournisseur de services Internet — Lorsque votre Firebox est configuré comme client DHCP ou PPPoE
- Serveur DNSWatch — Serveur DNS lorsque le DNSWatch est activé, dans certains cas
Chaque serveur DNS a un objectif distinct et est configuré à un endroit différent dans les paramètres du Firebox.
Certains serveurs DNS sont prioritaires sur d'autres. Lorsque vous activez une règle de Transfert DNS, sachez que :
- Les serveurs DNS conditionnels sont prioritaires sur le serveur DNS Réseau et les serveurs DNSWatch.
- Le serveur DNS de l'Interface est prioritaire sur le serveur DNS Conditionnel.
Pour de plus amples informations concernant la priorité des serveurs DNS, consultez À propos de DNS sur le Firebox.
Transfert DNS
Vous pouvez activer le transfert DNS et le transfert DNS conditionnel dans les modes réseau suivants :
- Mode de routage mixte
- Mode d'insertion
- Mode pont
Lorsque vous activez le transfert DNS :
- Vous devez sélectionner une ou plusieurs interfaces Approuvées, Facultatives ou Personnalisées pour participer au transfert DNS.
- Les processus locaux du Firebox utilisent celui-ci comme serveur DNS.
- Le Firebox met en cache les résultats des requêtes DNS (jusqu'à 10 000 entrées).
- Si vous n'ajoutez pas de règles de transfert DNS conditionnel, les requêtes DNS envoyées à l'adresse IP locale du Firebox sont transférées au serveur DNS réseau que vous avez spécifié. Le Firebox met en cache les résultats de ces requêtes.
- Si vous configurez le Firebox comme serveur DHCP, les clients DHCP de votre réseau utilisent automatiquement l'adresse IP de l'interface comme serveur DNS, à moins de spécifier un serveur DNS dans les paramètres du serveur DHCP.
- Le trafic DNS transmis par les interfaces configurées pour le transfert DNS vers le Firebox est autorisé. La stratégie DNS et la stratégie de proxy DNS s'appliquent uniquement au trafic DNS en transit.
- Si vous configurez une interface Firebox comme serveur DHCP et que celle-ci est configurée pour le transfert DNS :
- Si vous ne spécifiez pas de serveur DNS dans les paramètres DHCP, le serveur DHCP assigne automatiquement l'adresse IP de l'interface Firebox en tant que serveur DNS. Le transfert DNS a lieu.
- Si vous spécifiez un serveur DNS différent de l'adresse IP de l'interface Firebox dans les paramètres DHCP, le serveur DHCP assigne automatiquement l'adresse IP du serveur DNS que vous avez spécifié. Le transfert DNS n'a pas lieu.
Le Firebox peut traiter jusqu'à 10 000 requêtes DNS simultanées.
Si vous activez la journalisation DNS, le Firebox génère un message de journal lorsque le transfert DNS a lieu.
Si vous disposez d'une connexion d'interface virtuelle BOVPN entre les sites, et que vous configurez le transfert DNS, vous devez ajouter une adresse IP d'interface virtuelle dans les paramètres d'interface virtuelle BOVPN pour que le transfert DNS fonctionne sur le VPN. L'adresse IP de l'interface virtuelle est requise car le serveur DNS doit racheminer le trafic vers cette adresse IP. Pour plus d'informations sur les adresses IP de l'interface virtuelle, consultez Configurer des adresses IP d'Interface Virtuelle BOVPN.
Dans Fireware v12.4 et versions ultérieures, vous pouvez activer DNSWatch en Mode Pont. Pour que le Firebox puisse résoudre les noms d'hôtes sur les domaines locaux, vous devez créer des règles de transfert DNS pour les domaines locaux qui spécifient les serveurs DNS locaux.
Transfert DNS Conditionnel
Vous pouvez ajouter des règles de transfert DNS conditionnelles. Lorsque vous ajoutez une règle de transfert, le Firebox utilise les informations mises en cache pour répondre à une requête DNS ou transfère cette dernière à un serveur DNS spécifié dans la règle.
Par exemple, sur un Firebox d'une filiale possédant une connexion VPN avec le siège, vous pouvez configurer les paramètres DNS de manière à :
- Transférer les requêtes DNS destinées au réseau interne example.com via le VPN au serveur DNS du siège.
- Transférer les autres requêtes DNS à un serveur DNS public physiquement plus proche de la filiale.
Configuration
Lorsque vous activez le transfert DNS conditionnel sur votre Firebox, vous pouvez ajouter des règles de transfert DNS. Dans chaque règle de transfert DNS, vous spécifiez les paramètres suivants :
Nom de Domaine
Ajoutez un ou plusieurs noms de domaine. Il n'existe aucune limite quant au nombre de noms de domaine que vous pouvez spécifier. Les noms de domaine les plus spécifiques ont priorité. L'ordre les noms de domaine n'a pas d'incidence.
Serveur DNS
Spécifiez un serveur DNS. Les requêtes destinées au nom de domaine que vous avez ajouté sont transmises au serveur DNS spécifié. Vous pouvez ajouter jusqu'à quatre serveurs DNS pour chaque nom de domaine. Le Firebox contacte le premier serveur DNS de la liste puis les suivants en fonction des besoins.
Désactiver le Cache DNS
Si vous activez les fonctionnalités Transfert DNS ou DNSWatch, un résolveur DNS (127.0.0.1) est automatiquement activé sur le Firebox. Dans Fireware v12.6.4 et les versions ultérieures, vous pouvez désactiver le cache DNS. Pour de plus amples informations concernant la désactivation du cache, consultez la section À propos de DNS sur le Firebox.
Exemple
Dans cet exemple, une filiale possède un Firebox configuré comme serveur DHCP. Aucun serveur DNS d'interface n'est spécifié dans les paramètres du serveur DHCP. Le serveur DNS interne se trouve sur le réseau des bureaux du siège. Sur le Firebox de la filiale, une règle de transfert DNS conditionnel transmet les requêtes destinées à example.com au serveur DNS du siège. Les autres requêtes DNS sont transmises au serveur DNS réseau spécifié sur le Firebox.
Fonctionnement :
- Au siège, un client DHCP du réseau envoie une requête DNS pour le nom de domaine example.com.
- Le Firebox reçoit la requête et examine son cache DNS.
- Si le cache ne comprend pas d'entrée pour example.com, le Firebox examine sa liste de Transfert DNS.
- Si example.com figure dans la liste de Transfert DNS, le Firebox transfère la requête au serveur DNS spécifié pour ce nom de domaine.
Dans notre exemple, la requête est transférée au serveur DNS distant du siège à l'adresse 10.50.1.253. - Si example.com ne figure pas dans la liste de Transfert DNS, le Firebox transfère la requête DNS au serveur DNS réseau (4.2.2.1 dans cet exemple).
Ces images illustrent les paramètres du DNS Réseau et du transfert DNS de notre exemple :
Voir Également
Configurer les Serveurs DNS et WINS
Configurer les Serveurs DNS et WINS pour Mobile VPN with IPSec