Данный раздел содержит настройки сервисов DNS и DNS-прокси.
Для корректной работы продукта необходимо, чтобы UserGate мог разрешать доменные имена в IP-адреса. Укажите корректные IP-адреса серверов DNS в настройке Системные DNS-серверы.
Сервис DNS-прокси позволяет перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора.
Настройки DNS-прокси:
Наименование |
Описание |
---|---|
Кэширование DNS |
Включает или отключает кэширование ответов DNS. Рекомендуется оставить включенным для ускорения обслуживания клиентов |
DNS-фильтрация |
Включает или отключает фильтрацию DNS-запросов. Для работы фильтрации необходимо приобрести лицензию на модуль ATP |
Рекурсивные DNS-запросы |
Разрешает или запрещает серверу осуществлять рекурсивные DNS-запросы. Рекомендуется оставить эту опцию включенной |
Максимальный TTL для DNS-записей |
Устанавливает максимально возможное время жизни для записей DNS |
Лимит количества DNS-запросов в секунду на пользователя |
Устанавливает ограничение на количество DNS-запросов в секунду для каждого пользователя. Запросы, превышающие данный параметр, будут отброшены. Значение по умолчанию - 100 запросов в секунду. Не рекомендуется ставить большие значения для данного параметра, поскольку DNS-флуд (DNS DoS attacks) является довольно частой причиной отказа обслуживания DNS-серверов |
Только A и AAAA DNS-записи для не идентифицированных пользователей (защита от VPN поверх DNS) |
Если защита включена, то UserGate отвечает только на запросы на записи A и AAAA от неизвестных пользователей. Это позволяет эффективно блокировать попытки организации VPN поверх протокола DNS |
С помощью правил DNS-прокси можно указать серверы DNS, на которые пересылаются запросы на определенные домены. Данная опция может быть полезна в случае, если внутри компании используется локальный домен, не имеющий связи с интернетом и использующийся для внутренних нужд компании, например, домен Active Directory.
Чтобы создать правило DNS-прокси, необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Добавить правило |
Нажать на кнопку Добавить, задать Название и Описание (опционально) |
Шаг 2. Указать список доменов |
Задать список доменов, которые необходимо перенаправлять, например, localdomain.local. Допускается использование '*' для указания шаблона доменов |
Шаг 3. Указать DNS-серверы |
Задать список IP-адресов DNS-серверов, куда необходимо пересылать запросы на указанные домены |
Кроме этого, с помощью DNS-прокси можно задавать статические записи типа host (A-запись). Чтобы создать статическую запись, необходимо выполнить:
Наименование |
Описание |
---|---|
Шаг 1. Добавить запись |
Нажать на кнопку Добавить, задать Название и Описание (опционально) |
Шаг 2. Указать FQDN |
Задать Fully Qualified Domain Name (FQDN) статической записи, например, www.example.com |
Шаг 3. Указать IP-адреса |
Задать список IP-адресов, которые сервер UserGate будет возвращать при запросе данного FQDN |