DNS透明代理,开启此功能后,当终端的DNS流量经过防火墙时,会被防火墙拦截,改由防火墙去做DNS的请求解析,防火墙收到DNS回包后,再转发给终端设备,整个过程中,终端设备是无感知的。
截止到8.0.95版本,配置如下
- 网络-DNS-DNS透明代理
外网DNS服务器地址:DNS透明代理使用的外网DNS服务器地址,如223.5.5.5、119.29.29.29等。开启DNS透明代理后,不处于上传域名文件列表中的域名都将通过该DNS解析。
内网DNS服务器地址:DNS透明代理使用的内网DNS服务器地址。开启DNS透明代理后,处于上传域名文件列表中的域名都将通过该DNS解析。
DNS透明代理:是否开启该功能。
DNS64:DNS64 则主要是配合 NAT64工作,主要是将 DNS查询信息中的 A记录(IPv4地址)合成到 AAAA记录(IPv6地址)中,返回合成的 AAAA记录用户给 IPv6侧用户。
上传域名文件列表:设置用于需要通过内网DNS进行解析的域名,常见场景为单位自己的网站域名访问时,直接解析到网站对应的内网IP。
- 开启SNAT
这一步在文档/手册中未做说明,但经过实际测试已经跟深信服专家沟通,不配置snat,防火墙是无法去解析域名的
在策略-地址转换-IPv4地址转换中,新增源地址转换
转换类型:源地址转换
名称:自定义
状态:启用
源区域:local
源地址:any
目的区域:外网口所在区域
目的地址:any或填写DNS透明代理处所填写的外网DNS服务器地址
服务:dns-t以及dns-u,即dns请求所使用的tcp 53以及udp 53端口
源地址转换为:出接口地址