码迷,mamicode.com
首页 > 其他好文 > 详细

(FortiGate)飞塔防火墙DNS转发和NS记录设置步骤

时间:2018-02-09 15:33:35      阅读:969      评论:0      收藏:0      [点我收藏+]

标签:诊断   方案   dns服务   请求转发   mask   isa   secure   word   http   

技术分享图片


1. 需求

用户有内网服务器和内网DNS,如下图所示


技术分享图片


内网DNS服务器IP 192.168.11.123

内网域名为 test.com

内网OA服务器IP www.test.com    192.168.11.4

用户希望在FortiGate的内网接口上启用DNS转发功能,将Internet的域名解析转发到Internet的DNS服务器处理,将内网域名(test)的解析发送到内网DNS服务器处理。


2. 解决方案

这个需求有两种解决方法,一种是通过FortiGate的的NS记录方式,将test.com请求转发给内网DNS服务器。另外一种方法是通过FortiGate的forworder方式,将特定域转发给内网DNS服务器处理。



3. NS方案的配置方法

默认情况下DNS Database的功能是关闭的,我们需要先将其开启起来。找到System---Feature Select,然后找到DNS Database启用后,点击Apply的选项。


技术分享图片


新建DNS区域“test.com”,设置域名也是“test.com”。将权威设置为“禁用”,这一点很重要。

然后新建一个A记录,主机名可以任意设置,本案例中设置为“ns1”,对应的IP地址为内网OA服务器“192.168.11.123”。

然后新建一个NS记录,设置主机名为A记录的主机名,本案例中为ns1。

配置方法如图:


技术分享图片


命令行设置如下:

config system dns-database

edit "test.com"

set domain "test.com"

set authoritative disable

config dns-entry

edit 1

set hostname "ns1"

set ip 192.168.11.123

next

edit 2

set type NS

set hostname "ns1"

next

end

next

end

完成以上配置后,可以在FortiGate的内网接口上启用DNS转发,设置类型为“递归”。配置如图:


技术分享图片


命令行设置如下:

config system dns-server

edit "internal"

set mode recursive

next

end

完成以上设置后,我们就可以实现访问Internet域名,则转发到Internet的DNS,访问test.com转发到内网DNS服务器。


4. forwarder配置方法

Forworder配置相对简单,主要在命令行下配置:

config system dns-database

edit "test.com"

set forwarder 192.168.11.123

set authoritative disable

next

end

然后在FortiGate的内网接口上启用DNS转发,设置类型为“递归”。配置如图:


技术分享图片


命令行设置如下:

config system dns-server

edit "internal"

set mode recursive

next

end

完成以上设置后,我们就可以实现访问Internet域名,则转发到Internet的DNS,访问hytest.com转发到内网DNS服务器。


5. 常用的诊断工具

有两个命令比较常用:

“diagnose test application dnsproxy”,参数说明如下

FG90DP3Z13000115 # diag test app dnsproxy 

1 Clear DNS cache

2 Show stats

3 Dump DNS setting

4 Reload FQDN

5 Requery FQDN

6 Dump FQDN

7 Dump DNS cache

8 Dump DNS DB

9 Reload DNS DB

10 Dump secure DNS policy/profile

11 Reload Secure DNS setting

12 Show Hostname cache

13 Clear Hostname cache

14 DNS debug bit mask


如:FG90DP3Z13000115 # diag test app dnsproxy  2

config: alloc=1

DNS_CACHE: alloc=11, hit=1

DNS UDP: req=118 res=107 fwd=145 alloc=0 cmp=0 cur=44 

         switched=57100 v6_cur=0 v6_switched=0 to=7 

         ftg_res=0 ftg_fwd=0

DNS TCP: req=0, res=0, fwd=0, alloc=0, to=0

FQDN: alloc=6


另外一个命令可以跟踪诊断dnsproxy过程

diagnose debug enable

diagnose debug app dnsproxy -1


(FortiGate)飞塔防火墙DNS转发和NS记录设置步骤

标签:诊断   方案   dns服务   请求转发   mask   isa   secure   word   http   

原文地址:http://blog.51cto.com/abnerhuang/2070515

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!