Данный раздел содержит настройки сервисов DNS и DNS-прокси.
Для корректной работы продукта необходимо, чтобы UserGate мог разрешать доменные имена в IP-адреса. Укажите корректные IP-адреса серверов DNS в настройке Системные DNS-серверы.
Сервис DNS-прокси позволяет перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора. Сервис работает как в явном режиме, так и для перехвата транзитных запросов. Для явного режима необходимо разрешить доступ к сервису DNS на соответствующей зоне. Для перехвата транзитных запросов в этой зоне необходимо активировать настройки в разделе DNS-прокси.
Настройки DNS-прокси:
Наименование |
Описание |
---|---|
Кэширование DNS |
Включает или отключает кэширование ответов DNS. Рекомендуется оставить включенным для ускорения обслуживания клиентов. |
DNS-фильтрация |
Включает или отключает фильтрацию DNS-запросов. Для работы фильтрации необходимо приобрести лицензию на модуль ATP. |
Рекурсивные DNS-запросы |
Разрешает или запрещает серверу осуществлять рекурсивные DNS-запросы. Рекомендуется оставить эту опцию включенной. |
Максимальный TTL для DNS-записей |
Устанавливает максимально возможное время жизни для записей DNS. |
Лимит количества DNS-запросов в секунду на пользователя |
Устанавливает ограничение на количество DNS-запросов в секунду для каждого пользователя. Запросы, превышающие данный параметр, будут отброшены. Значение по умолчанию - 100 запросов в секунду. Не рекомендуется ставить большие значения для данного параметра, поскольку DNS-флуд (DNS DoS attacks) является довольно частой причиной отказа обслуживания DNS-серверов. |
Только A и AAAA DNS-записи для не идентифицированных пользователей (защита от VPN поверх DNS) |
Если защита включена, то UserGate отвечает только на запросы на записи A и AAAA от неизвестных пользователей. Это позволяет эффективно блокировать попытки организации VPN поверх протокола DNS. |
С помощью правил DNS-прокси можно указать серверы DNS, на которые пересылаются запросы на определенные домены. Данная опция может быть полезна в случае, если внутри компании используется локальный домен, не имеющий связи с интернетом и использующийся для внутренних нужд компании, например, домен Active Directory.
Чтобы создать правило DNS-прокси, необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Добавить правило. |
Нажать на кнопку Добавить, задать Название и Описание (опционально). |
Шаг 2. Указать список доменов. |
Задать список доменов, которые необходимо перенаправлять, например, localdomain.local. Допускается использование '*' для указания шаблона доменов. |
Шаг 3. Указать DNS-серверы. |
Задать список IP-адресов DNS-серверов, куда необходимо пересылать запросы на указанные домены. |
Кроме этого, с помощью DNS-прокси можно задавать статические записи типа host (A-запись). Чтобы создать статическую запись, необходимо выполнить:
Наименование |
Описание |
---|---|
Шаг 1. Добавить запись. |
Нажать на кнопку Добавить, задать Название и Описание (опционально). |
Шаг 2. Указать FQDN. |
Задать Fully Qualified Domain Name (FQDN) статической записи, например, www.example.com. |
Шаг 3. Указать IP-адреса. |
Задать список IP-адресов, которые сервер UserGate будет возвращать при запросе данного FQDN. |