Меню

Трафик инспектор настройка dns



Трафик инспектор настройка dns

Правильная настройка DNS имеет важнейшее значение. Ошибки могут привести к плохой работе сети и появлению лишнего трафика DNS. В зависимости от требуемой задачи возможны разные варианты.

В качестве своих служб DNS может использоваться DNS-сервер в серверных версиях Windows или кэширующий DNS от NAT. Использование своих служб актуально, если у провайдера DNS-трафик платный, т.к. они за счет кэширования позволяют его экономить.

DNS-сервер, присутствующий в домене Windows, следует настроить на работу с внешним Интернетом (DNS-сервером). Здесь возможен только третий вариант — смотрите далее.

1. Клиенты и сервер используют DNS-сервер провайдера, службы DNS в своей сети совсем не используются.

У клиентов в качестве DNS-сервера следует прописать IP-адреса DNS-серверов провайдера. А также, если клиенты получают настройки через DHCP от ICS или RRAS.

У клиентов NAT должен быть разрешен. Если в настройках фильтрации трафик у них по умолчанию запрещен, то стоит разрешить UDP/TCP по порту 53.

2. Используется служба кэширования DNS от NAT.

В ICS это включено по умолчанию, а в RRAS надо явно разрешить. Эта настройка находится в окне общих настроек NAT консоли RRAS. У клиентов в качестве DNS-сервера должен указываться IP-адрес внутреннего интерфейса. При использовании DHCP от NAT данную настройку они получат автоматически.

По причине отсутствия внутреннего DNS-домена в этом варианте ни в коем случае в настройках DNS у клиентов не прописывайте зону, которой принадлежит компьютер. У Windows 9x/ME это поле «Домен» в окне настроек DNS TCP/IP. В Windows 2000/XP/2003 членство рабочей станции в DNS-домене указывается в общих свойствах системы (Мой компьютер/Свойства). Достаточно здесь ошибиться и указать несуществующую зону — появится огромный внешний DNS-трафик. Это произойдет, если какие-либо программы будут обращаться внутри сети по именам хостов. Тогда каждая такая попытка будет сопровождаться внешним DNS-запросом к несуществующей зоне.

Все запросы DNS из внутренней сети эта служба будет пересылать на DNS-сервера, указанные в настройках внешнего интерфейса сервера. Проверьте их.

По умолчанию DNS-трафик для клиентов в этом случае считаться не будет, т.к. идет на IP-адрес интерфейса внутренней сети. При настройках Traffic Inspector его можно сделать платным. Для этого добавьте фильтр «для тарификации» на UDP/TCP по порту 53 для локального интерфейса.

3. Используется свой DNS-сервер.

Наиболее предпочтительный вариант. Позволяет описать свою внутреннюю прямую и обратную зону. Наличие своей внутренней зоны упростит обращение внутри сети по именам хостов и позволит исключить паразитный внешний DNS-трафик, связанный с этим.

DNS-сервер лучше всего ставить на сервере, подключенном к Интернету. Он может быть настроен на использование DNS-сервера провайдера или работать автономно. Первое предпочтительно, если DNS-трафик у провайдера бесплатный. Второе желательно, если у провайдера DNS-сервер работает неустойчиво.

Для использования DNS-сервера провайдера настройте forwarding. Для этого откройте общие настройки в консоли DNS-сервера. Там можно прописать список IP-адресов, по которым будут перенаправляться его запросы. Для автономной работы DNS-сервера этот список оставьте пустым, но у него в окне настроек должен присутствовать список корневых DNS-серверов Интернета.

После установки домена в Windows DNS-сервер может оказаться настроенным для локального применения. В этом случае forwarding у него будет запрещен, и список корневых серверов будет пустой. Для разрешения работы DNS-сервера с Интернетом следует удалить в нем зону с одной точкой. После сервер следует перезапустить. Если есть домен Windows, то перезапустить весь сервер.

В службе NAT RRAS использование DNS необходимо обязательно отключить. Если этого не сделать, она будет перехватывать DNS-запросы клиентов и DNS-сервер работать не будет.

Если есть домен Windows, а домен-контроллер находится на сервере, подключенном к Интернету, следует настроить его привязки. Рекомендуется оставить привязку только к IP-адресу внутренней сети. А на всех интерфейсах сервера указывать именно этот адрес в качестве DNS-сервера. Это исключит появление во внутренней DNS-зоне нескольких IP-адресов для имени данного сервера и самой зоны. Проверьте эти записи, а лишние удалите.

Пропишите в DNS-сервере внутреннюю прямую зону. В случае если домен Windows уже настроен — такая зона имеет место быть. Имя зоны выбирается таким образом, чтобы оно не пересекалось с именами Интернета, например, mynetwork.local. Следует также прописать и обратную зону на все внутренние IP-сети, что позволит ускорить и упростить работу некоторых приложений (появится возможность преобразования IP-адреса в имя).

Читайте также:  Blade of darkness настройки управления

В открытых внутренних зонах обязательно пропишите NS-записи с IP-адресом вашего DNS-сервера.

Настройки клиентов аналогичны второму варианту, но в качестве DNS-домена следует указать имя своей внутренней прямой зоны. DNS-трафик можно сделать еще и платным.

Прямую и обратную зону можно заполнять вручную. Если используется DHCP-сервер от серверных версий Windows, то его можно настроить на автоматическую прописку в DNS всех клиентов.

Если имеются DNS-сервера внутри сети, например, с контроллерами домена, то необходимо настроить у них forwarding на DNS-сервер, находящийся на сервере, подключенном к Интернету.

Источник

Настройка DNS¶

TING поставляется с двумя штатными DNS серверами Unbound DNS и Dnsmasq DNS, DNSCrypt-Proxy в качестве отдельного плагина, а также службу OpenDNS .

Таким образом пользователь может самостоятельно принять решение о настройке и использовании одного из перечисленных DNS серверов, либо их совместном использовании.

Dnsmasq DNS¶

Dnsmasq DNS — легковесный и быстроконфигурируемый проксирующий DNS-сервер, предназначенный для небольших сетей.

В качестве штатного DNS сервера предлагается использовать Unbound DNS.

Для настройки Dnsmasq DNS перейдите в закладку Службы -> Dnsmasq DNS -> Настройки

При работе Dnsmasq DNS использует для пересылки вышестоящие сервера DNS, указанные на закладке Система: Настройки: Общие в разделе DNS

Настройки модуля:¶

Настройки данного модуля не вызывают сложностей. Вы можете настроить порт (по умолчанию 53 ), выбрать интерфейсы.

Также можете настроить регистрацию в DNS адресов, выдаваемых по DHCP.

Включение модуля осуществляется установкой соответствующего флажка.

Функция переопределения хоста позволит вашему Dnsmasq DNS отвечать определенной IP на указанное имя.

Функция переопределения домена позволит вашему Dnsmasq DNS пересылать все запросы, связанные с необходимым доменном на указанный DNS сервер.

Данный функционал может потребоваться для настройки SSO аутентификации в двух доменах.

Unbound DNS¶

Unbound является проверяющим, рекурсивным и кэширующим DNS-сервером и позиционируется, как основной DNS сервер TING.

Настройка модуля:¶

Перейдите в закладку: Службы -> Unbound DNS -> Общие

В данной закладке вы сможете выполнить основные настройки:

Включить модуль Unbound DNS

Этот порт отвечает на DNS-запросы (по умолчанию 53)

Для ответов клиентам на запросы, будут использоваться IP адреса выбранных интерфейсов. При наличии на интерфейсе IPv4, IPv6, оба адреса будут использоваться. Запросы с отсутствующих интерфейсов будут отклоняться. (По умолчанию используются все имеющиеся IP адреса и интерфейсы)

Включить DNSSEC для минимизирования атак, связанных с подменой DNS-адреса при разрешении доменных имён.

Компьютеры, которые указывают свое имя хоста при запросе аренды DHCP, будут зарегистрированы в Unbound, чтобы их имя можно было разрешить.

Переопределение доменного имени DHCP

Доменное имя для регистрации имени хоста DHCP. Если имя не указано, используется системное доменное имя по умолчанию.

Статические DHCP преобразования

Статические сопоставления DHCP будут зарегистрированы в Unbound, чтобы их имя можно было разрешить.

Зарегистрировать IPv6 link-local адресав Unbound.

Зарегистрировать описания ассоциированные с записями хоста и статическими маршрутами DHCP в соответствующие TXT записи.

Настроенные системные серверы имен из раздела Система: Настройки: Общие будут использоваться для переадресации запросов.

Тип Локальной Зоны

Используемый тип локальной зоны (по умолчанию transparent ). 1

В данное поле вы можете ввести непосредственно директивы для unbound. 1

Исходящие сетевые интерфейсы

Используйте различные сетевые интерфейсы, которые Unbound будет использовать для отправки запросов (по умолчанию используются все интерфейсы) 2

Добавить записи CNAME для узла WPAD всех настроенных доменов.

Обратите внимание, что установка явных исходящих интерфейсов работает только тогда, когда они настроены статически.

Если функция Unbound включена, служба DHCP (если включена) будет автоматически обслуживать IP-адрес локальной сети в качестве DNS-сервера для DHCP-клиентов, поэтому они будут использовать Unbound resolver. Если переадресация включена, Unbound будет использовать DNS-серверы, введенные в System: General setup или полученные через DHCP или PPP в WAN, если установлен флажок «Разрешить переопределение списка DNS-серверов DHCP/PPP в WAN».

После внесения необходимых изменений нажмите кнопку Сохранить.

Читайте также:  Настройки для дрифта в сан андреас

Переопределения.¶

В данном разделе вы можете создать отдельные записи определения хоста и указать IP адрес сервера DNS, на который следует пересылать запросы.

Для создания переопределения хоста вам необходимо нажать + и заполнить соответствующие поля:

Домен для Переопределения

IP адрес DNS сервера пересылки

возможно применение как доменов вида mycompany.localdomain, так и вида обратных зон 1.168.192.in-addr.arpa

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Сохранить и Применить изменения

Дополнительно.¶

Настройки по умолчинию Unbound DNS являются оптимальными в большинтсве случаев, но при необходимости, вы можете внести изменения в настроки.

Для этого перейдите в закладку Дополнительно и внесите необходимые изменения:

Скройте Идентификационные данные

Если включено, запросы id.server и hostname.bind отклоняются.

Если включено, запросы version.serve и version.bind отклоняются.

Поддержка предварительной выборки

Элементы кэшей сообщений выбраны заранее до того, как они истекут, чтобы помочь держать кэш актуальным. Когда настройка включена, она может вызвать увеличение трафика DNS примерно на 10% и увеличить нагрузку сервера, но часто запрошенные элементы в кэше не истекают.

Поддержка Ключа DNS предварительной выборки

DNSKEY выбираются на упреждение в процессе проверки, когда встречается Подписчик делегирования. Это помогает уменьшить очередь запросов, но немного больше использует ЦП.

Данные только DNSSEC

Данных DNSSEC требуют основанные на доверии зоны. Если такие данные отсутствуют, зона становится ложной. Если это отключено и никакие данные DNSSEC не получены, зона делается небезопасной.

Обслуживание просроченных ответов

Выдавать просроченные ответы из кэша с TTL 0 без ожидания когда произойдёт реальное разрешение.

Размер кэша сообщений

Размер кэша сообщений. Кэш сообщений хранит DNS rcodes и статусы проверки. Кэш RRSet будет автоматически настроен на двойную величину. Кэш RRSet содержит фактические данные RR. Настройки по умолчанию – 4 мегабайта.

Буфера исходящего TCP

Количество буферов исходящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-зарпросы к полномочным серверам производятся.

Входящие буферы TCP

Количество буферов входящего TCP для распределения потока согласно условиям. Значение по умолчанию – 10. Если выбрано 0, то TCP-запросы от клиентов принимаются.

Количество запросов на поток

Количество запросов, которые каждый поток обслужит одновременно. Если придет больше запросов, которые нужно обслужить, и нет запросов, которые можно объединить, то эти запросы сбрасываются.

Этот тайм-аут используется, когда сервер очень занят. Защищает от отказа в обслуживания с помощью медленных запросов или запросов с высоким рейтингом. Значение по умолчанию 200 миллисекунд.

Максимальный ТТЛ для RRsets и сообщений

Сконфигурируйте максимальный Время жизни для RRsets и сообщений в кэше. По умолчанию – 86400 секунд (1 день). Когда внутренний TTL истекает, элемент кэша тоже истекает. Настройка может использоваться, чтобы заставить разрешатель запрашивать данные чаще и не доверять (очень большим) значениям TTL.

Минимальный ТТЛ для RRsets и сообщения

Сконфигурируйте минимальный Время жизни для RRsets и сообщений в кэше. По умолчанию – 0 секунд. Если включается минимальное значение, данные кэшируются на дольше, чем планирует владелец домена, и, таким образом, совершается меньше запросов для поиска данных. Значение 0 гарантирует, что в кэше имеются данные, запланированные владельцем домена. Высокие значения могут привести к проблемам, поскольку данные в кэше могут больше не соответствовать фактическим данным.

TTL для записей кэша хоста

Время жизни для записей в кэше хоста. Кэш хоста содержит двустороннее время прохождения пакета и информацию о поддержке EDNS. Значение по умолчанию составляет 15 минут.

Количество кэшируемых хостов

Количество хостов, для которых информация кэширована. Значение по умолчанию — 10000.

Пороговое значение нежелательных ответов

Если включен, общее количество нежелательных ответов продолжают отслеживаться в каждом потоке. Когда оно доходит до порога, принимаются защитные меры, и в журнал заносится предупреждение. Это защитное поведение служит для очистки RRSet и кэшей сообщений. По умолчанию отключён, но если включен, предлагается значение в 10 миллионов.

Уровень детализации журнала

Выберите уровень подробности журнала. Уровень 0 означает отсутствие подробности, только ошибки. Уровень 1 дает оперативную информацию. Уровень 2 дает подробную оперативную информацию. Уровень 3 дает информацию об уровне запроса, ответ на запрос. Уровень 4 дает информацию об уровне алгоритма. Уровень 5 регистрирует идентификацию клиента для пропусков кэша. По умолчанию уровень 1.

Читайте также:  Abbyy finereader настройка языка

После внесения необходимых изменений нажмите кнопку Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Применить изменения

Списки доступа.¶

Списки доступа определяют хосты и сети, а также действия, которые им разрешены либо запрещены с данным DNS сервером.

Списки доступа для сетей, принадлежащих сконфигурированным на устройстве интерфейсам создаются автоматически и не изменяются.

Для создания списка доступа необходимо нажать кнопку Добавить в правом верхнем углу и заполнить необходимые поля:

Имя списка доступа

Укажите имя списка доступа

Выберите, что делать с DNS-запросами, которые соответствуют указанным ниже условиям. 4

Укажите сеть для которой создается данный список доступа. 5

Описание данного списка доступа.

Укажите действие для совпавшего запроса:

Блокировать: это действие запрещает запросы от хостов, указанных в блоке сетевых адресов ниже.

Запретить: это действие также запрещает запросы от хостов, указанных в блоке сетевых адресов ниже, но отправляет обратно клиенту сообщение об ошибке DNS rcode REFUSED.

Разрешить: это действие разрешает запросы от хостов, указанных в блоке сетевых адресов ниже.

Разрешить отслеживание: это действие разрешает рекурсивный и нерекурсивный доступ из хостов в определенном ниже блоке сетевых адресов, и используется для отслеживания кэша (в идеале должно быть настроено только для административного хоста).

Запретить нелокальный: разрешать только авторитетные запросы локальных данных от хостов в сетевом блоке, определенном ниже. Сообщения, которые запрещены, удаляются.

Отказаться от нелокальных: разрешать только авторитетные запросы локальных данных от хостов в сетевом блоке, определенном ниже. Отправляет сообщение об ошибке DNS rcode REFUSED обратно клиенту для сообщений, которые запрещены.

Вы можете указать (добавить) несколько сетей в один список доступа.

Наиболее детально описанный список доступа считается совпавшим.

Если совпадений нет, то работает правило Блокировать.

Порядок правил не имеет значения.

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Применить изменения

Черные списки.¶

Черные списки позволяют проводить фильтрацию DNS запросов по предопределенным спискам, собственным спискам, а также создавать исключения из них.

Для этого перейдите в раздел Черный Список и выполните настройку согласно собственных требований:

Включить использование списков блокировки DNS.

Выберите типы DNSBL (возможен множественный выбор)

URL-адреса черных списков

URL-адрес(а), из которого будет загружен черный список.

Белый список доменов

Список исключений доменов (белый список). Можно использовать регулярные выражения.

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, перейдите в раздел Общие и нажмите Сохранить и Применить изменения

Прочее.¶

В данном разделе вы можете настроить Частные домены и включить функцию DNS через TLS.

Для этого перейдите в раздел Прочее

Если необходимо, введите список частных доменов. 6

Частные домены — это домены, в которых используются частные сети. Unbound DNS по умолчанию фильтрует такие запросы.

Если необходимо настроить Unbound DNS на использование внешних серверов с использованием технологии DNS-over-HTTPS, заполните соответствующее поле в формате IP@port (к примеру, 9 . 9 . 9 . 9 @ 853)

После настройки нажмите Сохранить.

Для того, чтоб изменения вступили в силу, нажмите Применить изменения

Статистические данные.¶

Страница статистики предоставляет некоторые сведения о работающем сервере, такие как количество выполненных запросов, использование кэша и время безотказной работы.

OpenDNS¶

OpenDNS — интернет-служба, предоставляющая общедоступные DNS-серверы. Имеет платный и бесплатный режим, может исправлять опечатки в набираемых адресах, фильтровать фишинговые сайты и осуществлять дополнительную фильтрацию контента при поиске DNS.

Для работы данной слубы вам необходима учетная запись OpenDNS и корректно выполненная настройка службы со стороны OpenDNS.

Для настройки OpenDNS перейдите в закладку Службы -> OpenDNS и выполните следующие настройки:

Имя пользователя для входа в инструментальную панель OpenDNS.

Имя сети настроенной в Networks инструментальной панели сетей OpenDNS на странице «Управление вашими сетями»

При включении службы OpenDNS, DNS-серверы, настроенные на странице «Общие настройки», будут перезаписаны, DNS-серверы, полученные DHCP/PPP на WAN-интерфейсе, будут игнорироваться, а использоваться будут DNS-серверы из opendns.com

После выключения службы, проверьте, что DNS-серверы, настроенные на странице «Общие настройки» вернулись к предыдущим значениям.

Источник