SonicWALL DNS Proxy配置指南
配置手冊
版本1.0
2017年12月18日 by Dantalian
Question/Topic
如何配置SonicWALL防火牆上的DNS代理
Answer/Article
本文適用於:
涉及到的 Sonicwall 防火牆(Gen6以上的設備)
Gen6 NSA 系列:NSA 2600、NSA 3600、NSA 4600、NSA 5600、NSA 6600
Gen6 TZ系列:TZ 300、TZ 400、TZ 500
Gen6.5系列:NSA 2650
固件/軟件版本: SonicOS 6.5或者以上版本
服務: DNS Proxy
功能與應用:
配置DNS代理,以防火牆的接口IP作爲DNS服務器,主要爲了解決走不同線路DNS不一樣的問題以及某些特定域名必須使用某個指定DNS才能解析正常的問題。
一、配置防火牆接口
要配置DNS代理,首先要在內網接口上允許DNS代理。首先,選擇MANGE菜單,進入network-interface菜單,編輯對應的lan口
例如X0,在advanced頁面下勾選Enable DNS Proxy
二、開啓DNS代理
進入network→DNS proxy菜單下面,勾選Enable DNS Proxy,點擊accept應用配置。
默認情況下,防火牆會使用自身的DNS進行DNS代理,防火牆自身的DNS在network→DNS菜單下面。
可以選擇Specify IPv4 DNS Servers Manually手動指定防火牆DNS,也可以使用Inherit
IPv4 DNS Settings Dynamically from WAN Zone
讓防火牆自動從WAN口獲取DNS,默認配置是防火牆自動從WAN口配置DNS。
三、配置靜態DNS
對於一些需要指定進行解析的域名,我們可以通過配置靜態DNS進行解析,如圖,在network→DNS
proxy菜單下面,Static DNS Proxy Cache
Entries項目中,點擊add直接添加解析條目即可。
例如,將oa.com解析爲192.168.1.111,配置如圖所示。防火牆同時還支持IPv6的解析,最多解析爲2個IPv4和2個IPv6的地址。
在電腦上使用nslookup命令進行測試,測試結果如圖:
本例中防火牆接口IP爲1.1.1.1,使用1.1.1.1去解析oa.com,可以解析爲我們設置的192.168.1.11,正是我們設置的靜態解析。
四、配置分離解析(Split DNS)
分離解析主要用某個域名必須使用某個DNS才能解析正常這樣的情況,例如外網可能有個oa.com,但是實際上我們希望用內網的DNS服務器去解析oa.com到我們的內網服務器上去,這個時候就可以使用分離解析。
分離解析位於network→DNS菜單下,需要先開啓DNS代理才能生效。
同樣的,勾選Enable proxying of split DNS servers,點擊accept,開啓DNS分離解析。
隨後,點擊add添加分離解析項目:
Domain Name 域名
Primary Server 首選DNS服務器IP
Secondary Server 次選DNS服務器IP
Tertiary Server 第三DNS服務器IP
Local Interface 接口
最多可以配置3個DNS服務器進行解析,支持IPv6,接口即防火牆到DNS服務器的出口,例如,DNS服務器是內網IP,則接口應該選擇X0口(內網口);如果DNS服務器是在外網,則接口應該選擇X1口(外網口)編輯完成之後點擊OK即可增加新條目。
添加本條目之後,對應的域名就會去使用指定的DNS去解析了。
所有配置完成之後,將電腦的DNS配置爲防火牆的接口IP即可使用防火牆作DNS代理進行域名解析。也可以將防火牆接口IP配置在DHCP服務中作爲DNS直接分發,這裏就不在贅述。