Redirection DNS??
Le DNS Forwarder du logiciel pfSense® est un résolveur DNS de mise en cache qui utilise le dnsmasq
démon. Il est désactivé par défaut dans les versions actuelles, le DNS Resolver ( unbound
) étant actif par défaut à la place. Le DNS Forwarder restera activé sur les systèmes plus anciens ou les systèmes mis à niveau où il était actif auparavant.
Le DNS Forwarder utilise des serveurs DNS configurés dans Système > Configuration générale , ou ceux obtenus automatiquement d'un FAI pour les interfaces WAN configurées dynamiquement (DHCP, PPPoE, PPTP). Pour les connexions WAN à adresse IP statique, les serveurs DNS doivent être entrés dans Système > Configuration générale ou pendant l'assistant de configuration pour que le redirecteur DNS fonctionne. Les serveurs DNS configurés de manière statique peuvent également être utilisés avec des interfaces WAN configurées dynamiquement en décochant la case Autoriser la liste des serveurs DNS à être remplacées par DHCP/PPP sur le WAN sur la page Système > Configuration générale .
Par défaut, le DNS Forwarder interroge tous les serveurs DNS à la fois, et seule la première réponse reçue est utilisée et mise en cache. Cela se traduit par un service DNS beaucoup plus rapide du point de vue du client et peut aider à résoudre les problèmes liés aux serveurs DNS qui sont lents par intermittence ou ont une latence élevée, en particulier dans les environnements multi-WAN. Ce comportement peut être désactivé en activant l' option Interroger les serveurs DNS de manière séquentielle .
Redirection DNS et IPv6??
Le DNS Forwarder est entièrement compatible avec IPv6. Il accepte et effectue des requêtes sur IPv6, prend en charge les enregistrements AAAA et n'a aucun problème connu avec aucun aspect d'IPv6 et de gestion du DNS.
Configuration du redirecteur DNS??
Pour configurer le DNS Forwarder, accédez à Services > DNS Forwarder
Les options disponibles pour le DNS Forwarder sont :
- Permettre
-
Cocher cette case active le DNS Forwarder, ou décochez-la pour désactiver cette fonctionnalité. Le DNS Forwarder et le DNS Resolver ne peuvent pas être actifs en même temps sur le même port, donc désactivez le DNS Resolver ou déplacez un service ou l'autre vers un port différent avant d'essayer d'activer le DNS Forwarder.
- Enregistrement DHCP
-
Lorsqu'ils sont actifs, les noms de machines internes pour les clients DHCP peuvent être résolus à l'aide de DNS. Cela ne fonctionne que pour les clients qui spécifient un nom d'hôte dans leurs requêtes DHCP. Le nom de domaine de Système > Configuration générale est utilisé comme nom de domaine sur les hôtes.
- DHCP statique
-
Cela fonctionne de la même manière que Enregistrer les baux DHCP dans le redirecteur DNS , sauf qu'il enregistre les adresses de mappage statiques DHCP à la place.
- Préférer DHCP
-
Lorsqu'une adresse IP a plusieurs noms d'hôte, une recherche inversée peut donner un résultat inattendu si l'un des noms d'hôte est en surcharge d'hôte et que le système utilise un autre nom d'hôte via DHCP. Cocher cette option placera les noms d'hôtes obtenus par DHCP au-dessus des mappages statiques dans le fichier hosts sur le pare-feu, les obligeant à être consultés en premier. Cela n'affecte que les recherches inversées (PTR), car elles ne renvoient que le premier résultat et non plusieurs. Par exemple, cela donnerait un résultat de
labserver01.example.com
, l'adresse IP obtenue par DHCP d'un serveur de test, plutôt qu'un nom de remplacement d'hôtetestwww.example.com
qui serait renvoyé autrement. - Interroger les serveurs DNS de manière séquentielle
-
Par défaut, le pare-feu interroge tous les serveurs DNS simultanément et utilise le résultat le plus rapide. Ce n'est pas toujours souhaitable, surtout s'il existe un serveur DNS local avec des noms d'hôtes personnalisés qui pourraient être contournés en utilisant un serveur DNS plus rapide mais public. Si vous cochez cette option, des requêtes sont envoyées à chaque serveur DNS dans l'ordre, de haut en bas, et le pare-feu attend un délai avant de passer au serveur DNS suivant de la liste.
- Exiger un domaine
-
Nécessite un nom de domaine sur les noms d'hôtes à transmettre aux serveurs DNS en amont. Les hôtes sans nom seront toujours vérifiés par rapport aux remplacements d'hôtes et aux résultats DHCP, mais ils ne seront pas interrogés par rapport aux serveurs de noms configurés sur le pare-feu. Au lieu de cela, si un nom d'hôte court n'existe pas localement, un résultat NXDOMAIN ("Not Found") est renvoyé au client.
- Ne pas transférer les recherches inversées privées
-
Lorsqu'elle est cochée, cette option empêche
dnsmasq
d'effectuer des recherches DNS inversées (enregistrement PTR) pour les adresses IP privées RFC1918 vers les serveurs de noms en amont. Il renverra toujours les résultats des entrées locales. Il est possible d'utiliser une entrée de remplacement de domaine pour la zone de recherche inversée, par exemple , afin que les requêtes pour un sous-réseau spécifique soient toujours envoyées à un serveur DNS spécifique.1.168.192 .in-addr.arpa
- Port d'écoute
-
Par défaut, le DNS Forwarder écoute sur les ports TCP et UDP
53
. Ceci est normal pour tout serveur DNS, car c'est le port que les clients essaieront d'utiliser. Dans certains cas, il est souhaitable de déplacer le DNS Forwarder vers un autre port d'écoute, tel que 5353 ou 54, et des requêtes spécifiques peuvent alors y être transmises via des redirections de port. - Interfaces
-
Par défaut, le DNS Forwarder écoute toutes les interfaces disponibles et toutes les adresses IPv4 et IPv6 disponibles. Le contrôle d'interface limite les interfaces où le redirecteur DNS acceptera et répondra aux requêtes. Cela peut être utilisé pour augmenter la sécurité en plus des règles de pare-feu. Si une interface spécifique est sélectionnée, les adresses IPv4 et IPv6 sur cette interface seront utilisées pour répondre aux requêtes. Les requêtes envoyées à d'autres adresses IP sur le pare-feu seront ignorées en silence.
- Liaison d'interface stricte
-
Lorsqu'il est défini, le redirecteur DNS se lie uniquement aux interfaces contenant les adresses IP sélectionnées dans le contrôle Interface , plutôt que de se lier à toutes les interfaces et de rejeter les requêtes vers d'autres adresses. Cela peut être utilisé de la même manière que le port d'écoute pour contrôler la manière dont le service se lie afin qu'il puisse coexister avec d'autres services DNS qui ont des options similaires.
Noter
Cette option n'est pas compatible avec IPv6 dans la version actuelle du démon DNS Forwarder,
dnsmasq
. Si cette case est cochée, le processus dnsmasq ne se liera à aucune adresse IPv6.
Options avancées??
Les paramètres de configuration personnalisés de dnsmasq qui ne sont pas configurables dans l'interface graphique peuvent être placés dans les options avancées . Par exemple, pour définir un TTL inférieur pour les enregistrements DNS, saisissez max-ttl=30
. Ou concevoir un enregistrement DNS de wild card pour résoudre .lab.example.com
à 192.2.5.6
en spécifiant address=/lab.example.com/192.2.5.6
.
Séparez les commandes par un espace ou une nouvelle ligne. Pour plus d'informations sur les paramètres possibles pouvant être utilisés, consultez la documentation dnsmasq .
Remplacements d'hôte??
Les entrées de remplacement d'hôte permettent de configurer des entrées DNS personnalisées. La configuration est identique à Host Overrides dans DNS Resolver, reportez-vous ici pour plus de détails.
Remplacements de domaine??
Les remplacements de domaine configurent un autre serveur DNS à utiliser pour résoudre un domaine spécifique. La configuration est identique à Domain Overrides dans DNS Resolver, avec quelques légères différences :
- Domaine
-
Le champ Domaine définit le nom de domaine qui sera résolu à l'aide de cette entrée. Il n'est pas nécessaire que ce soit un TLD valide, il peut s'agir de n'importe quoi (par exemple
local
,test
,lab
), ou il peut s'agir d'un véritable nom de domaine (example.com
). - Adresse IP
-
Ce champ peut être utilisé de l'une des trois manières suivantes. Premièrement, il peut être utilisé pour spécifier l'adresse IP du serveur DNS auquel les requêtes de noms d'hôtes dans le domaine sont envoyées. Deuxièmement, il peut être utilisé pour remplacer une autre entrée en entrant
#
. Par exemple, pour transférerexample.com
vers192.2.66.2
, maislab.example.com
transférer sur les serveurs de noms standard, saisissez a#
dans ce champ. Troisièmement, il peut être utilisé pour empêcher les recherches non locales en entrant un fichier!
. Si des entrées de remplacement d'hôte existent pourwww.example.org
etmail.example.org
, mais que d'autres recherches d'hôtes sous example.org ne doivent pas être transférées vers des serveurs DNS distants, saisissez a!
dans ce champ. - IP source
-
Ce champ est facultatif et principalement utilisé pour contacter un serveur DNS via un VPN. Généralement, seules des adresses IP locales spécifiques sont capables de traverser un VPN, ce champ spécifie quelle adresse IP sur le pare-feu est utilisée pour sourcer le DNS afin que les requêtes passent correctement.
- La description
-
Une description textuelle utilisée pour identifier ou donner plus d'informations sur cette entrée.
Transitaire DNS et Multi-WAN??
Le DNS Forwarder est entièrement compatible avec le multi-WAN. Configurez au moins un serveur DNS par passerelle WAN sous Système > Configuration générale .
Redirection DNS et protection contre la reliure DNS??
Par défaut, la protection DNS Rebinding est activée et les réponses d'adresse IP privée sont rejetées. Pour autoriser les réponses d'adresses IP privées d'un domaine connu, utilisez la zone Options avancées dans les paramètres du redirecteur DNS pour configurer les domaines autorisés comme suit :
rebind-domain-ok=/example.com/