问题描述:
解决方案(两种实现方式,如下): 一、使用dns代理方式 2、开启dns解析和dns代理功能 dns resolve dns server 114.114.114.114 dns proxy enable 3、PC的dns地址需要配置为防火墙接口地址 解析效果: [system]dis fir sess ta ver sou in 192.168.1.10 Current Total Sessions : 1 dns VPN: public --> public ID: a58f390d9e9a06d66160859db8 Zone: trust --> local TTL: 00:00:30 Left: 00:00:26 Recv Interface: Eth-Trunk8.4001 Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 0000-0000-0000 <--packets: 1 bytes: 75 --> packets: 1 bytes: 59 192.168.1.10:64129 --> 192.168.1.254:53 PolicyName: any_local
二、使用DNS代理+DNS透明代理方式 2、开启dns解析和dns代理功能 dns resolve dns server 114.114.114.114 dns proxy enable 3、开启dns透明代理功能和配置dns透明代理所使用的dns server地址 dns transparent-proxy enable dns server bind interface Eth-Trunk9 preferred 114.114.114.114 alternate 8.8.8.8
4、域名排除: 指定域名不做DNS透明代理后,即使客户端设置的DNS服务器需要做DNS透明代理,FW也不会处理访问该域名的DNS请求报文,而是直接转发。如果指定了解析该域名的DNS服务器地址(server server-address),则DNS请求报文将被转发到该服务器上,不会转发给客户端设置的DNS服务器。 如果多个域名不需要做DNS透明代理,则需要针对这些域名配置多次本步骤。 dns transparent-proxy exclude domain www.baidu.com server preferred 192.168.1.254 dns transparent-proxy exclude domain www.163.com server preferred 192.168.1.254 注:192.168.1.254为防火墙接口ip
5、 配置内网需要使用dns透明代理的地址 dns-transparent-policy rule name test source-address 192.168.1.10 mask 255.255.255.255 action tpdns 6、因为开启了dns透明代理功能,所以在PC侧设置那种dns都可以,无限制。 解析效果: [system]dis fir sess ta ver sou in 192.168.1.10 Current Total Sessions : 1 dns VPN: public --> public ID: a58f38f40a9a05562a60859d36 Zone: trust --> local TTL: 00:00:30 Left: 00:00:26 Recv Interface: Eth-Trunk8.4001 Interface: InLoopBack0 NextHop: 127.0.0.1 MAC: 0000-0000-0000 <--packets: 1 bytes: 75 --> packets: 1 bytes: 59 192.168.1.10:52454 --> 114.114.114.114:53[192.168.1.254:53] PolicyName: any_local
三、两种实现方法对比 1、方法1设备侧配置简单,但是需要PC侧配合设置dns为防火墙接口ip地址。 2、方法2设备侧配置复杂,不需要pc侧配合,pc侧随便设置一个公网dns就可以。
|