加强 50e 条件转发

网络工程 dns 加强
2022-02-27 06:17:02

我在这里的第一篇文章,任何帮助表示赞赏。我有一个fortigate 50E,上面连接着一堆PC,形成了我的内部网络。其中一台 PC 正在运行一个 Web 应用程序(准确地说是 Confluence)。我可以从内部网络中使用 . 现在我希望能够使用“confluence.myoffice.com:someport”之类的东西从内部网络访问它。我也有 confluence.myoffice.com 作为我的 webhoster 的子域,但我不希望看到我是否从本地网络打开该 url。我阅读了有关条件端口转发的信息并通过 Fortigate CLI 进行了设置:

config system dns-database
    edit "my_forward"
        set authoritative disable
        set domain "confluence.myoffice.com"
        set forwarder "<myIP>"
    next
end

并设置界面,以便在我的 Fortigate UI 中看到:

在此处输入图像描述

但是,当我使用 confluence.myoffice.com 在内部网络上打开浏览器时,它会将我带到公共版本。如何检查 Fortigate 设置是否生效?

我遵循@Zac67 的说明,现在有以下内容:

在此处输入图像描述

但是当我从 LAN 中的机器执行 nslookup 时,它似乎仍然通过通常的 DNS:

在此处输入图像描述

这是我从 Fortigate 控制台得到的:

在此处输入图像描述

2个回答

对于本地名称解析,您需要设置 3 件事:
1- DNS 区域
2- 该区域中至少一个 A 记录
3- 内部主机所在接口上的 DNS

名称服务器中的区域是名称/IP 对(即记录)的容器。您在以下位置创建 DNS 区域config system dns-database

config system dns-database
    edit "MyCompanyZone"
        set status enable
        set domain "mycompany.local"
        set type master
        set view shadow
        set ttl 14400
        set authoritative enable
        config dns-entry
            edit 1
                set status enable
                set type A
                set ttl 0
                set hostname "namea"
                set ip 192.168.234.10
            next
            edit 2
                set status enable
                set type A
            ...
         end
      next
   end
end

该区域仅保存您的私人主机的记录,因此它必须是“权威的”!
接下来是记录。它们是在config dns-entry部分中创建的。记录类型“A”表示主机条目。使用您的名称服务器(即 Fortigate)的名称添加一个额外的“NS”记录并没有什么坏处。

然后在“lan”接口上设置一个 DNS 供主机使用: 

config system dns-server
    edit "lan"
        set mode recursive
    next
end

# explanation for the mode parameter:  
# set mode
recursive        Shadow DNS database and forward.
non-recursive    Public DNS database only.
forward-only     Forward only.

如您所见,它必须处于“递归”模式,否则将无法解析非本地名称。如果在 dns 数据库中找不到请求的主机名,如果指定了“递归”,则请求将被转发到 Fortigate 的系统 DNS,它可以是 Fortiguard DNS(如您的情况)或您的提供商的 DNS。

现在您可以解析本地主机名,例如“namea.mycompany.local”。

最后,如果您使用 FGT 作为您的 DHCP 服务器,请指定 Fortigate 的 LAN 地址作为要使用的 DNS,以便您的所有本地主机都知道该询问谁。

显然,您正在使用 FG 进行本地 DNS 解析。您可以将其设置为将名称解析为 LAN IP(替换11.22.33.44):

config system dns-database edit "my_entry" set authoritative disable config dns-entry edit 1 set hostname "confluence.myoffice.com" set ip 11.22.33.44 next end next end

要检查该条目是否运行(Windows)nslookup confluence.myoffice.com- 它应该打开 LAN IP。

其它你可能感兴趣的问题
上一篇无法在路由器和分布交换机之间建立中继以成功 下一篇Aruba/HPE 5400R ZL VLAN 接口未 ping