تدفقات DNS المثالية باستخدام Cato كخادم DNS الخاص بك

توفر هذه المقالة أمثلة على تدفقات DNS عند استخدام Cato كخادم DNS الخاص بك.

عينات من رسوم تدفقات DNS

يظهر هذا القسم عدة أمثلة على تدفقات DNS. كل منها يوضح كيفية عمل خدمة DNS من Cato في تكوين مختلف.

استخدام Cato كخادم DNS

يوضح الرسم التخطيطي التالي مثالاً لحساب يستخدم خادم DNS من Cato (10.254.254.1). ينطبق نفس التدفق على أي خادم DNS موثوق به.

  1. يطلب مضيف حل مجال عام (abc.com).

  2. يقوم PoP كاتو باعتراض استفسار DNS والتحقق من عنوان IP الوجهة. يقوم PoP بفحص DNS، والتحقق من قواعد توجيه DNS ومن سجلات DNS المحلية في ذاكرة التخزين المؤقت.

  3. لم يتم التعرف على أية سجلات DNS مطابقة في ذاكرة التخزين المؤقت.

  4. ثم يقوم PoP بإعادة توجيه استفسار DNS إلى خادم DNS موثوق به ويقوم بإجراء SNAT.

  5. عندما يقوم خادم DNS الموثوق به بإرسال الرد، يعيد PoP ترجمة عناوين IP للمصدر والوجهة ويعيد توجيه الرد إلى المضيف الأصلي.

    كما يقوم PoP بتخزين رد DNS في ذاكرة التخزين المؤقت.

mceclip0.png

استخدام خادم DNS غير موثوق به

يوضح الرسم التخطيطي التالي مثالاً لاستخدام خادم DNS غير موثوق به (عنوان IP: 208.67.222.222 - OpenDNS).

  1. يقوم PoP بتوجيه استعلام DNS "كما هو" إلى الوجهة (abc.com) عبر الإنترنت.

  2. يطبق PoP سياسة حماية DNS وذاكرة التخزين المخبأة DNS.

  3. يقوم PoP بإجراء NAT على عنوان IP المصدر (مع عنوان IP العام لـ PoP).

    لا يقوم PoP بفحص DNS أو تنفيذ قواعد توجيه DNS.

mceclip1.png

استخدام قواعد توجيه DNS

يوضح الرسم التخطيطي التالي مثالاً لاستفسار DNS إلى خدمة DNS من Cato (10.254.254.1) عند تطبيق قواعد توجيه DNS (*.local.org).

  1. يقوم PoP بفحص استفسار DNS، والتحقق من قواعد التوجيه.

  2. يقوم PoP بإعادة توجيه استفسار DNS إلى خادم DNS البعيد (192.168.5.5).

    لا يقوم PoP بتخزين ردود DNS في الذاكرة المؤقتة من خادم DNS توجيهي.

    إذا كان المضيف وخادم DNS في نفس الموقع، فإن مصدر IP لهذه الحزم هو 10.254.254.1

mceclip2.png

استخدام خادم DNS خاص غير موثوق به

يوضح الرسم التخطيطي التالي مثالاً لاستخدام خادم DNS خاص غير موثوق به (192.168.5.5).

  1. يقوم PoP بإعادة توجيه استفسار DNS إلى الوجهة "كما هو" عبر WAN.

  2. يطبق PoP سياسة حماية DNS وذاكرة التخزين المخبأة DNS.

  3. لا يقوم PoP بإجراء فحص DNS ولا تُطبق قواعد إعادة توجيه DNS.

ملاحظة: لا تزال استجابة DNS تملأ مجال الدنام المستخدم من قبل جدار الحماية على الإنترنت وقواعد الشبكة. هذا يعني أن الرد يمكن فحصه وحجبه بواسطة Cato.

mceclip3.png

استخدام Cato كخادم DNS مع مستجيب DNS

توضح الرسوم البيانية التالية مثالًا على استخدام Cato كخادم DNS عند تكوين استثناء في سياسة النفق المنقسم لخادم DNS المحلي.

بمجرد وجود استثناء، يتم تنفيذ خدمة DNS-relay تلقائيًا لتسهيل الحل السليم. تمت إضافة خدمة DNS-relay بواسطة Cato لإدارة طلبات DNS وتحديد ما إذا كان الطلب بحاجة إلى المرور عبر DNS Cato أو DNS المحلي.

استعلام مجال محلي

يظهر هذا القسم التدفق عندما ترسل طلب DNS لمجال محلي، والذي يتم إرساله إلى خادم DNS المحلي.

  1. يطلب مضيف حل نطاق محلي (*.local.org).

  2. يعترض DNS-relay الطلب ويعيد توجيهه إلى خادم DNS المحلي (192.168.5.5)، الذي يقع في نفس الموقع مع المضيف. يستخدم DNS-relay نفس عنوان IP مثل المضيف (لأنه مجرد مكون فيه، وليس لديه واجهة جسدية أخرى).

  3. يرسل خادم DNS المحلي الرد إلى المضيف الأصلي.

  4. يعترض dns-relay الرد ويعيد توجيهه إلى المضيف الأصلي.

local-dns-flow.png

استعلام مجال عام

يظهر هذا القسم التدفق عندما ترسل طلب DNS لمجال عام عبر خادم DNS Cato.

  1. يطلب المضيف حل نطاق عام، مثل cnn.com.

  2. يعترض dns-relay الطلب ويعيد توجيهه إلى خادم DNS Cato (10.254.254.1). يستخدم dns-relay نفس عنوان IP مثل المضيف (لأنه مجرد مكون فيه، وليس لديه واجهة جسدية أخرى).

  3. ثم يقوم PoP بتوجيه استعلام DNS إلى خادم DNS موثوق ويقوم بـ SNAT.

  4. يرسل خادم DNS الموثوق الرد إلى PoP.

  5. عندما يرسل خادم DNS الموثوق الرد مرة أخرى، يقوم PoP بترجمة عناوين IP المصدر والوجهة ويوجه الرد إلى المضيف الأصلي.

  6. يعترض DNS-relay الرد ويعيد توجيهه إلى المضيف الأصلي

Cato-DNS-Relay.png

هل كان هذا المقال مفيداً؟

4 من 7 وجدوا هذا مفيداً

لا توجد تعليقات