Eksternal DNS-server

Untuk pengoperasian resolusi nama yang benar melalui Ideco NGFW, Anda tidak perlu menentukan server DNS di bagian ini.

Jika server DNS tidak ditentukan, maka server akan menyelesaikan nama di Internet menggunakan root server DNS di internet.

Konfigurasi ini tidak akan berfungsi jika router upstream mencegat permintaan DNS. Dalam hal ini, kami merekomendasikan:

  • tentukan server DNS secara manual (klik Tambah -> Tentukan secara manual dan tentukan alamat IP server DNS);

  • gunakan opsi Gunakan DNS yang dikeluarkan untuk koneksi, dengan menentukan koneksi yang diinginkan;

  • gunakan NextDNS.

Rekomendasi:

1. Server DNS yang dibangun pada Ideco NGFW adalah server cache. Disarankan untuk menggunakannya sebagai server DNS untuk jaringan lokal.

2. Jangan sertakan 8.8.8.8, 1.1.1.1 atau sejenisnya kecuali benar-benar diperlukan. Ideco NGFW akan menangani resolusinya sendiri.

3. Jangan tentukan server DNS dari server Direktori Aktif internal, meskipun server tersebut dapat secara mandiri menyelesaikan nama domain di Internet. Ketika terintegrasi dengan AD, Ideco NGFW akan secara otomatis mengkonfigurasi semua yang diperlukan (zona maju) untuk operasi AD dan resolusi nama domain internal. Untuk mengatasi beberapa zona khusus yang tidak terkait dengan AD, buatlah zona maju.

4. Kami tidak menyarankan penggunaan DNS yang dikeluarkan oleh ISP Anda, karena melebihi TTL dan membutuhkan waktu lama untuk merespons. Ideco NGFW akan secara otomatis mengkonfigurasi semua yang diperlukan untuk terhubung ke PPTP/L2TP melalui nama domain. Jika Anda memerlukan zona domain internal khusus dari penyedia, buatlah zona penerusan.

5. Anda dapat menentukan server DNS yang terlibat dalam pemfilteran, jika perlu (SkyDNS atau Yandex-DNS).

6. Jika semua server DNS dinonaktifkan atau dihapus, maka DNS akan berfungsi normal (Ideco NGFW menyelesaikan nama sendiri).

7. Jika ISP atau perangkat upstream mencegat permintaan DNS, maka konfigurasi standar dengan server root tidak dapat digunakan. Kami menyarankan Anda mengatur server secara manual atau menggunakan server DNS yang ditetapkan untuk koneksi.

Mencegat permintaan DNS

Mengaktifkan intersepsi kueri DNS pengguna akan memblokir penggunaan DNS-over-TLS (DoT), DNS-over-QUIC (DoQ), dan DNS-over-HTTPS (DoH).

Jika server DNS pihak ketiga ditentukan di stasiun kerja pengguna (misalnya, untuk melewati pemblokiran), aktifkan opsi Intersepsi permintaan DNS pengguna di bagian Server DNS eksternal.

Opsi ini diaktifkan secara global untuk semua host di jaringan lokal untuk menghindari kemungkinan penggantian alamat sumber daya saat menyelesaikan domainnya. Intersepsi juga memungkinkan Anda mengontrol proses penyelesaian nama domain di Internet secara eksklusif menggunakan NGFW. Permintaan akan dialihkan ke server DNS NGFW dan akan menghasilkan respons (bukan server DNS asli).

Mencegat permintaan DNS juga memblokir kemampuan untuk melakukan terowongan melalui DNS (DNS-tunneling) dan memblokir penggunaan DNS-over-TLS.

Server DNS pihak ketiga untuk pemfilteran lalu lintas tambahan

  • SkyDNS 193.58.251.251;

  • Yandex DNS 77.88.8.88, 77.88.8.2;

  • Google DNS 8.8.8.8, 8.8.4.4;

  • Open DNS 208.67.222.222, 208.67.220.220, 208.67.222.220, 208.67.220.222;

  • Cloudflare DNS 1.1.1.1, 1.0.0.1.

Pencarian aman

Saat menyelesaikan melalui server DNS, NGFW akan mengembalikan alamat mesin pencari dengan pemfilteran konten yang tidak pantas diaktifkan.

PreviousDNSNextMaster-zona

Last updated