À propos de DNS sur le Firebox

Vous pouvez configurer différents types de serveurs et services DNS sur le Firebox. Chaque serveur et service DNS présente un objectif distinct et est configuré à un emplacement différent dans les paramètres du Firebox. Certains serveurs DNS sont prioritaires sur d'autres.

À l'aide des serveurs et des services DNS disponibles, vous pouvez :

• Configurer les serveurs DNS s'appliquant à l'ensemble des interfaces et des processus locaux du Firebox ou uniquement à certaines interfaces.
• Configurer les règles de Transfert DNS de manière à envoyer les requêtes DNS correspondant à certains domaines vers différents serveurs DNS.
• Activer DNSWatch si vous possédez une clé d'abonnement Total Security Suite. Astuce ! DNSWatch est un service de en nuage, qui surveille les requêtes DNS afin de bloquer les connexions aux domaines malveillants connus.
• Configurer un DNS dynamique (DDNS) de manière à conserver l'association de votre nom de domaine à l'adresse IP dynamique du Firebox.
  Pour de plus amples informations concernant le DNS dynamique, consultez À propos du service DNS dynamique.

Pour de plus amples informations concernant les meilleures pratiques DNS, consultez Meilleures pratiques de Configuration du Firebox.

Pour de plus amples informations concernant le dépannage des problèmes DNS, consultez Dépanner la Connectivité Réseau.

Serveurs DNS de Votre Firebox

Votre Firebox inclut des serveur DNS destinés au transfert DNS. Vous ne pouvez pas configurer le Firebox lui-même pour qu'il fonctionne comme un serveur DNS. Au lieu de cela, vous configurez le Firebox pour transférer les demandes aux serveurs DNS que vous spécifiez.

Les serveurs DNS disponibles sur votre Firebox comprennent les suivants :

• Serveur DNS Réseau (Global)

  Il s'agit du serveur DNS par défaut de l'ensemble des interfaces et des processus locaux du Firebox.

  Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez opter pour assigner le serveur DNS Réseau aux clients Mobile VPN with IPSec, Mobile VPN with L2TP, and Mobile VPN with IKEv2 et Mobile VPN with SSL. Vous pouvez également opter pour utiliser les serveurs DNS spécifiés dans la configuration Mobile VPN.

  Dans Fireware v12.2 et les versions antérieures, le serveur DNS Réseau est automatiquement utilisé pour Mobile VPN with IPSec, Mobile VPN with L2TP et Mobile VPN with IKEv2. Mobile VPN with SSL n'utilise pas le serveur DNS Réseau ; il utilise les serveurs DNS configurés dans les paramètres Mobile VPN with SSL.

  Configuration des Serveurs DNS Réseau

  Vous pouvez spécifier jusqu'à trois serveurs DNS Réseau.

  Le premier serveur de la liste DNS Réseau est contacté avant les autres serveurs de la liste. Si vous possédez un serveur DNS local, vérifiez qu'il figure en tête de la liste des serveurs DNS Réseau.

  Configurez le serveur DNS Réseau dans les paramètres réseau DNS/WINS :

  • Fireware Web UI — Sélectionnez Réseau > Interfaces > DNS/WINS
  • Policy Manager — Sélectionnez Réseau > Configuration > WINS/DNS

  Priorité des Serveurs DNS Réseau

  Les paramètres des serveurs DNS spécifiés dans les configurations Mobile VPN sont prioritaires sur les paramètres du serveur DNS/WINS Réseau.

  Si la fonctionnalité de transfert DNS est activée, les serveurs DNS Conditionnels spécifiés dans les règles de transfert sont prioritaires sur le serveur DNS Réseau. Ceci est également vrai pour le trafic généré par le Firebox lui-même (connu sous le nom de trafic généré par le Firebox ou trafic auto-généré).

  Si DNSWatch est activé :

  • Si vous possédez un serveur DNS local figurant en tête de la liste des serveurs DNS Réseau, DNSWatch n'a pas priorité sur ce serveur.
  • Si l'exécution de DNSWatch est désactivée, les serveurs DNS DNSWatch sont prioritaires sur les serveurs DNS Réseau configurés sur votre Firebox, à l'exception d'un serveur DNS local figurant en tête de liste, uniquement pour les requêtes générées par ou adressées à l'adresse IP du Firebox.
  • Si l'exécution de DNSWatch est activée, les serveurs DNS DNSWatch sont prioritaires sur les serveurs DNS Réseau configurés sur votre Firebox, à l'exception d'un serveur DNS local figurant en tête de liste, pour toutes les requêtes sortantes sur cette interface.

  Pour afficher les serveurs DNS utilisés sur votre Firebox, sélectionnez Panneau Avant > Interfaces > Serveurs DNS dans Firebox System Manager ou sélectionnez Interfaces > Détails dans Fireware Web UI. Pour de plus amples informations, consultez la section Informations du Serveur DNS de cette rubrique.

  Pour de plus amples informations concernant le serveur DNS Réseau, consultez Configurer les Serveurs DNS et WINS.

• Serveur DNS d'interface

  Il s'agit d'un serveur DNS facultatif que vous pouvez configurer pour une interface.

  Configuration du Serveur DNS d'Interface

  Vous pouvez entrer un maximum de trois serveurs DNS. Configurez ce serveur DNS d'Interface dans les paramètres de serveur DHCP d'une interface :

  • Fireware Web UI — Sélectionnez Réseau > Interfaces > [Nom de l'Interface] > Modifier > DNS/WINS
  • Policy Manager — Sélectionnez Réseau > Configuration > [Nom de l'Interface] > Configurer > Utiliser un Serveur DHCP > Configurer les Serveurs DNS/WINS

  Priorité du Serveur DNS d'Interface

  Ce serveur DNS d'Interface est prioritaire sur le serveur DNS Réseau et le serveur DNS Conditionnel.

  Si le DNSWatch et son exécution sont activés, le serveur DNSWatch a priorité sur le serveur DNS de l'Interface IPv4.

  Pour de plus amples informations concernant le serveur DNS d'Interface, consultez Configurer un Serveur DHCP IPv4.

• Serveur DNS conditionnel

  Il s'agit du serveur DNS des noms de domaine et des interfaces spécifiés dans une règle de Transfert DNS.

  Configuration du Serveur DNS Conditionnel

  Configurez ce serveur dans les paramètres réseau DNS/WINS :

  • Fireware Web UI — Sélectionnez Réseau > Interfaces > DNS/WINS > Transfert DNS.
  • Policy Manager — Sélectionnez Réseau > Configuration > WINS/DNS > Activer le Transfert DNS.

  Priorité du Serveur DNS Conditionnel

  Le serveur DNS Conditionnel est prioritaire sur le serveur DNS Réseau et le serveur DNSWatch. Ceci est également vrai pour le trafic généré par le Firebox lui-même (connu sous le nom de trafic généré par le Firebox ou trafic auto-généré).

  Pour de plus amples informations concernant le Transfert DNS, consultez À propos du Transfert DNS.

• Serveur DNS de votre FAI

  Il s'agit du serveur DNS fourni par votre FAI.

  Si votre Firebox est configuré comme client DHCP, il obtient les serveurs DNS de votre FAI.

  Si votre Firebox est configuré comme client PPPoE, vous pouvez opter pour obtenir les serveurs DNS de votre FAI. Si vous ne sélectionnez pas cette option, le serveur DNS Réseau configuré sur le Firebox est utilisé. Il est impossible de configurer manuellement les serveurs DNS dans les paramètres PPPoE.

  Sur les interfaces modem externes, vous pouvez configurer manuellement jusqu'à deux serveurs DNS. Si vous ne configurez de serveur DNS dans les paramètres du modem, le Firebox obtient les serveurs DNS de votre FAI.

  Pour de plus amples informations concernant les serveurs DNS des interfaces externes configurées avec DHCP ou PPPoE, consultez Configurer une Interface Externe.

  Pour de plus amples informations concernant les interfaces modem, consultez À propos des Interfaces Modem.

  Configuration du Serveur DNS du FAI

  Sur une interface modem, vous pouvez configurer manuellement les serveurs DNS :

  • Fireware Web UI — Sélectionnez Réseau > Interfaces > [interface modem] > Modifier
  • Policy Manager — Sélectionnez Réseau > Configuration > Interfaces > [interface modem] > Configurer

  Priorité du Serveur DNS du FAI

  Les serveurs DNS Réseau sont prioritaires sur les serveurs DNS de votre FAI et les serveurs DNS configurés manuellement dans les paramètres du modem.

  Si DNSWatch est activé, les serveurs DNSWatch sont prioritaires sur les serveurs DNS de votre FAI et les serveurs DNS configurés manuellement dans les paramètres du modem.

• Serveur DNS DNSWatch

  DNSWatch est une fonctionnalité qui surveille les requêtes DNS transitant par le Firebox afin de bloquer les connexions aux domaines malveillants connus. Lorsque vous activez DNSWatch, deux serveurs DNS DNSWatch sont ajoutés à la liste des serveurs DNS réseau disponibles sur votre Firebox.

  Lorsque vous activez DNSWatch sur votre Firebox, vous devez décider d'activer ou non l'exécution de DNSWatch. Lorsque l'exécution est activée, le Firebox redirige toutes les requêtes DNS sortantes de l'interface vers les serveurs DNS DNSWatch. Lorsque l'exécution est désactivée, le Firebox redirige les requêtes DNS sortantes de cette interface vers les serveurs DNS DNSWatch uniquement lorsque la requête DNS est adressée au Firebox.

  Configuration DNSWatch

  Pour configurer les paramètres DNSWatch, à partir de Fireware Web UI ou Policy Manager, sélectionnez Services d'Abonnement > DNSWatch.

  Pour de plus amples informations concernant DNSWatch, consultez À propos de DNSWatch WatchGuard.

  Priorité de DNSWatch

  Si DNSWatch est activé et que son exécution est désactivée, les serveurs DNS DNSWatch sont prioritaires sur les serveurs suivants uniquement pour les requêtes DNS adressées directement au Firebox ou générées par ce dernier :

  • Serveurs DNS du Réseau Public configurés sur le Firebox
  • Serveurs DNS de votre FAI

  Si DNSWatch et son exécution sont activées, les serveurs DNS DNSWatch sont prioritaires sur les serveurs suivants :

  • Serveurs DNS du Réseau Public configurés sur le Firebox
  • Serveurs DNS de votre FAI
  • Serveurs DNS d'Interface
  • Serveurs DNS configurés manuellement sur un hôte du réseau

  DNSWatch n'est pas prioritaire sur les serveurs DNS Conditionnels spécifiés dans les règles de Transfert DNS.

  Pour de plus amples informations concernant la priorité du serveur DNSWatch, consultez Priorité des Paramètres DNS de DNSWatch sur un Firebox.

• Serveur DNS Mobile VPN

  Dans Fireware v12.2.1 et les versions ultérieures, dans toutes les configurations Mobile VPN, vous pouvez opter pour :

  • Assigner ou non les paramètres DNS/WINS Réseau aux clients mobiles
  • Assigner les paramètres spécifiés dans la configuration Mobile VPN aux clients mobiles

  Dans Fireware v12.2 et les versions antérieures :

  • Les serveurs DNS/WINS Réseau sont automatiquement assignés aux clients Mobile VPN with IPSec, Mobile VPN with L2TP et Mobile VPN with IKEv2.
  • Vous pouvez spécifier les paramètres des serveurs DNS et WINS dans la configuration Mobile VPN with SSL. Cependant, vous ne pouvez pas assigner les paramètres DNS/WINS Réseau aux clients Mobile VPN with SSL.

  Priorité du Serveur DNS Mobile VPN

  Les paramètres du serveur DNS spécifiés dans les configurations Mobile VPN sont prioritaires sur les paramètres du serveur DNS/WINS Réseau.

Résolveur DNS et Cache

Si vous activez les fonctionnalités Transfert DNS ou DNSWatch, un résolveur DNS (127.0.0.1) est automatiquement activé sur le Firebox. Le résolveur met en cache les résultats des requêtes DNS (jusqu'à 10 000 entrées).

Pour résoudre une requête DNS, le résolveur du Firebox recherche d'abord dans son propre cache. Si aucune information mise en cache ne correspond à la requête, le Firebox la transmet à un autre serveur DNS en fonction des paramètres DNS spécifiés sur le Firebox.

Pour désactiver le cache DNS, dans Policy Manager (Fireware v12.7 et versions ultérieures) :

1. Sélectionnez Réseau > Configuration > WINS/DNS.
2. Désélectionnez la case à cocher Activer le Cache DNS.

Pour désactiver le cache DNS, dans Fireware Web UI (Fireware v12.7 et versions ultérieures) :

1. Sélectionnez Réseau > Interfaces > DNS/WINS.
2. Désélectionnez la case à cocher Activer le Cache DNS.

Dans Fireware v12.6.4, vous devez utiliser le CLI pour désactiver le cache. Spécifiez la commande no ip dns cache enable. Pour de plus amples informations concernant cette commande, consultez la Référence CLI Fireware.

Après avoir désactivé le cache DNS, le Firebox ne met pas en cache les requêtes DNS et ne résout pas les requêtes DNS à partir des informations mises en cache. À titre d'exemple, s'il existe une règle de redirection DNS pour le domaine exemple.com, le Firebox transmet cette requête à un autre serveur DNS en fonction des paramètres DNS que vous avez spécifiés sur le Firebox.

Les serveurs DNS DNSWatch disposent également d'un cache permettant d'enregistrer une semaine de données.

Informations du Serveur DNS

Dans Firebox System Manager, vous pouvez afficher les serveurs DNS que votre périphérique utilise dans l'onglet Panneau Avant > Interfaces > Serveurs DNS. Pour plus d'informations, consultez État du Périphérique.

Dans Fireware Web UI, vous pouvez afficher les serveurs DNS que votre périphérique utilise sur la page Tableau de bord > Interfaces > Détails. Pour plus d'informations, consultez Informations d'Interface et Surveillance SD-WAN.

Le résolveur DNS du Firebox figure comme 127.0.0.1 dans la liste des serveurs DNS sur ces pages d'état. Seuls le résolveur DNS du Firebox et jusqu'à trois serveurs DNS figurent ici et sont disponibles pour résoudre les requêtes DNS.

Si DNSWatch est activé et qu'un serveur DNS local figure en tête de liste des serveurs DNS Réseau, les serveurs DNS DNSWatch figurent après le serveur DNS local sur ces pages d'état. Dans ce cas, les autres serveurs DNS de la liste des serveurs DNS Réseau ne figurent pas ici et ne sont pas utilisés pour la résolution DNS.

Par exemple, si vous avez activé DNSWatch et qu'un serveur DNS local figure en tête de liste des serveurs DNS Réseau, les serveurs DNS figurent sur ces pages d'état dans l'ordre suivant :

• 127.0.0.1 (résolveur Firebox)
• Serveur DNS Local
• Serveur DNS DNSWatch 1
• Serveur DNS DNSWatch 2

Dans ce cas, les serveurs DNS publics configurés dans la liste des serveurs DNS Réseau ne figurent pas sur la page d'état et ne sont pas utilisés pour la résolution DNS.

Voir Également

À propos de DNS (Système de Nom de Domaine)

À propos du Transfert DNS

À propos du service DNS dynamique

À propos de DNSWatch WatchGuard