Ejemplos de Flujos DNS Usando Cato como su Servidor DNS

Este artículo proporciona ejemplos de flujos DNS cuando se usa Cato como su servidor DNS.

Diagramas de ejemplo de flujos DNS

Esta sección muestra varios ejemplos de flujos DNS. Cada uno explica cómo funciona el servicio DNS de Cato en una configuración diferente.

Usando Cato como un Servidor DNS

El siguiente diagrama muestra un ejemplo de una cuenta que usa el servidor DNS de Cato (10.254.254.1). El mismo flujo se aplica a cualquier servidor DNS de confianza.

  1. Un host solicita resolver un dominio público (abc.com).

  2. El PoP de Cato intercepta la consulta DNS y verifica la dirección IP de destino. El PoP realiza una inspección DNS, verifica las reglas de reenvío de DNS y los registros DNS locales en la caché.

  3. No se identifican registros DNS coincidentes en la caché.

  4. El PoP entonces reenvía la consulta DNS a un servidor DNS de confianza y realiza SNAT.

  5. Cuando el servidor DNS de confianza envía la respuesta, el PoP traduce de nuevo las direcciones IP de origen y destino y reenvía la respuesta al host originario.

    El PoP también almacena la respuesta DNS en la caché.

mceclip0.png

Usando un Servidor DNS No Confiable

El siguiente diagrama muestra un ejemplo de uso de un servidor DNS no confiable (dirección IP: 208.67.222.222 - OpenDNS).

  1. El PoP reenvía la consulta DNS "tal cual" al destino (abc.com) a través de Internet.

  2. El PoP aplica la política de protección DNS y el caché DNS.

  3. El PoP realiza NAT en la dirección IP de origen (con la dirección IP pública del PoP).

    El PoP no realiza inspección DNS ni aplica reglas de reenvío de DNS.

mceclip1.png

Usando Reglas de Reenvío de DNS

El siguiente diagrama muestra un ejemplo de una consulta DNS al servicio DNS de Cato (10.254.254.1) cuando se aplican reglas de reenvío de DNS (*.local.org).

  1. El PoP inspecciona la consulta DNS y verifica las reglas de reenvío.

  2. El PoP redirige la consulta DNS al servidor DNS remoto (192.168.5.5).

    El PoP no almacena en caché las respuestas DNS de un servidor DNS de reenvío.

    Si el host y el servidor DNS están en el mismo sitio, la IP de origen de estos paquetes es 10.254.254.1

mceclip2.png

Usando un Servidor DNS Privado No Confiable

El siguiente diagrama muestra un ejemplo de uso de un servidor DNS privado no confiable (192.168.5.5).

  1. El PoP reenvía la consulta DNS al destino "tal cual" a través del WAN.

  2. El PoP aplica la política de protección DNS y el caché DNS.

  3. El PoP no realiza inspección DNS y no se aplican reglas de reenvío DNS.

Nota: La respuesta DNS aún rellena el campo dname utilizado por el firewall de Internet y las Reglas de Red. Esto significa que la Respuesta podría ser Inspeccionada y Bloqueada por Cato.

mceclip3.png

Usando Cato como el servidor DNS con un relé DNS

Los siguientes diagramas muestran un ejemplo de uso de Cato como servidor DNS cuando ha configurado una excepción en la política de túnel dividido para el servidor DNS local.

Una vez que hay una excepción, el servicio de relé DNS se implementa automáticamente para facilitar la resolución adecuada. Cato ha añadido el servicio de relé DNS para gestionar solicitudes DNS y determinar si la solicitud debe pasar por el DNS de Cato o el DNS local.

Consulta de dominio local

Esta sección muestra el flujo cuando envía una solicitud DNS para un dominio local, que se envía al servidor DNS local.

  1. Un host solicita resolver un dominio local (*.local.org).

  2. El relé DNS intercepta la solicitud y la redirige al servidor DNS local (192.168.5.5), que reside en el mismo sitio que el host. El relé DNS utiliza la misma IP que el host (ya que es solo un componente y no tiene otra interfaz física).

  3. El servidor DNS local envía de vuelta la respuesta al host de origen.

  4. El relé DNS intercepta la respuesta y la redirige al host de origen.

local-dns-flow.png

Consulta de dominio público

Esta sección muestra el flujo cuando envía una solicitud DNS para un dominio público a través del servidor DNS de Cato.

  1. Un host solicita resolver un dominio público, por ejemplo, cnn.com.

  2. El relé DNS intercepta la solicitud y la redirige al servidor DNS de Cato (10.254.254.1). El relé DNS utiliza la misma dirección IP que el host (ya que es solo un componente y no tiene otra interfaz física).

  3. El PoP luego reenvía la consulta DNS a un servidor DNS confiable y realiza SNAT.

  4. El servidor DNS confiable envía la respuesta al PoP.

  5. Cuando el servidor DNS confiable envía de vuelta la respuesta, el PoP traduce las direcciones IP de origen y destino y reenvía la respuesta al host de origen.

  6. El relé DNS intercepta la respuesta y la redirige al host de origen

Cato-DNS-Relay.png

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 4 de 7

0 comentarios