设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 1732|回复: 0
收起左侧

[分享] USG如何实现特定域名解析为特定ip地址

[复制链接]
 成长值: 61720
发表于 2023-11-20 17:59:21 | 显示全部楼层 |阅读模式
问题描述:
需求www.baidu.com和[url]www.163.com[/url]解析为特定的ip地址。其他域名使用常规的dns解析。

解决方案(两种实现方式,如下):
一、使用dns代理方式
1、首先在usg上配置ip host指定www.baidu.com和[url]www.163.com[/url]为特定ip
      ip host www.baidu.com 1.1.1.1
      ip host www.163.com 2.2.2.2
2、开启dns解析和dns代理功能
      dns resolve
      dns server 114.114.114.114
      dns proxy enable
3、PC的dns地址需要配置为防火墙接口地址
解析效果:

                               
登录/注册后可看大图
[system]dis fir sess ta ver sou in 192.168.1.10
Current Total Sessions : 1
dns VPN: public --> public  ID: a58f390d9e9a06d66160859db8
Zone: trust --> local  TTL: 00:00:30 Left: 00:00:26
Recv Interface: Eth-Trunk8.4001
Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 0000-0000-0000
<--packets: 1 bytes: 75 --> packets: 1 bytes: 59
192.168.1.10:64129 --> 192.168.1.254:53 PolicyName: any_local

二、使用DNS代理+DNS透明代理方式
1、首先在usg上配置ip host指定www.baidu.com和[url]www.163.com[/url]为特定ip
      ip host www.baidu.com 1.1.1.1
      ip host www.163.com 2.2.2.2
2、开启dns解析和dns代理功能
      dns resolve
      dns server 114.114.114.114
      dns proxy enable
3、开启dns透明代理功能和配置dns透明代理所使用的dns server地址
      dns transparent-proxy enable
     dns server bind interface Eth-Trunk9 preferred 114.114.114.114 alternate 8.8.8.8

4、域名排除:   
     指定域名不做DNS透明代理后,即使客户端设置的DNS服务器需要做DNS透明代理,FW也不会处理访问该域名的DNS请求报文,而是直接转发。如果指定了解析该域名的DNS服务器地址(server server-address),则DNS请求报文将被转发到该服务器上,不会转发给客户端设置的DNS服务器。
如果多个域名不需要做DNS透明代理,则需要针对这些域名配置多次本步骤。
     dns transparent-proxy exclude domain www.baidu.com server preferred 192.168.1.254
     dns transparent-proxy exclude domain www.163.com server preferred 192.168.1.254
      注:192.168.1.254为防火墙接口ip

5、 配置内网需要使用dns透明代理的地址
    dns-transparent-policy
      rule name test
       source-address 192.168.1.10 mask 255.255.255.255
       action tpdns
6、因为开启了dns透明代理功能,所以在PC侧设置那种dns都可以,无限制。
解析效果:

                               
登录/注册后可看大图
[system]dis fir sess ta ver sou in 192.168.1.10
Current Total Sessions : 1
dns VPN: public --> public  ID: a58f38f40a9a05562a60859d36
Zone: trust --> local  TTL: 00:00:30 Left: 00:00:26
Recv Interface: Eth-Trunk8.4001
Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 0000-0000-0000
<--packets: 1 bytes: 75 --> packets: 1 bytes: 59
192.168.1.10:52454 --> 114.114.114.114:53[192.168.1.254:53] PolicyName: any_local

三、两种实现方法对比
1、方法1设备侧配置简单,但是需要PC侧配合设置dns为防火墙接口ip地址。
2、方法2设备侧配置复杂,不需要pc侧配合,pc侧随便设置一个公网dns就可以。

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-10-13 11:16 , Processed in 0.060146 second(s), 11 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表