Este artículo proporciona ejemplos de flujos DNS cuando se usa Cato como su servidor DNS.
Esta sección muestra varios ejemplos de flujos DNS. Cada uno explica cómo funciona el servicio DNS de Cato en una configuración diferente.
El siguiente diagrama muestra un ejemplo de una cuenta que usa el servidor DNS de Cato (10.254.254.1). El mismo flujo se aplica a cualquier servidor DNS de confianza.
-
Un host solicita resolver un dominio público (abc.com).
-
El PoP de Cato intercepta la consulta DNS y verifica la dirección IP de destino. El PoP realiza una inspección DNS, verifica las reglas de reenvío de DNS y los registros DNS locales en la caché.
-
No se identifican registros DNS coincidentes en la caché.
-
El PoP entonces reenvía la consulta DNS a un servidor DNS de confianza y realiza SNAT.
-
Cuando el servidor DNS de confianza envía la respuesta, el PoP traduce de nuevo las direcciones IP de origen y destino y reenvía la respuesta al host originario.
El PoP también almacena la respuesta DNS en la caché.
El siguiente diagrama muestra un ejemplo de uso de un servidor DNS no confiable (dirección IP: 208.67.222.222 - OpenDNS).
-
El PoP reenvía la consulta DNS "tal cual" al destino (abc.com) a través de Internet.
-
El PoP aplica la política de protección DNS y el caché DNS.
-
El PoP realiza NAT en la dirección IP de origen (con la dirección IP pública del PoP).
El PoP no realiza inspección DNS ni aplica reglas de reenvío de DNS.
El siguiente diagrama muestra un ejemplo de una consulta DNS al servicio DNS de Cato (10.254.254.1) cuando se aplican reglas de reenvío de DNS (*.local.org).
-
El PoP inspecciona la consulta DNS y verifica las reglas de reenvío.
-
El PoP redirige la consulta DNS al servidor DNS remoto (192.168.5.5).
El PoP no almacena en caché las respuestas DNS de un servidor DNS de reenvío.
Si el host y el servidor DNS están en el mismo sitio, la IP de origen de estos paquetes es 10.254.254.1
El siguiente diagrama muestra un ejemplo de uso de un servidor DNS privado no confiable (192.168.5.5).
-
El PoP reenvía la consulta DNS al destino "tal cual" a través del WAN.
-
El PoP aplica la política de protección DNS y el caché DNS.
-
El PoP no realiza inspección DNS y no se aplican reglas de reenvío DNS.
Nota: La respuesta DNS aún rellena el campo dname utilizado por el firewall de Internet y las Reglas de Red. Esto significa que la Respuesta podría ser Inspeccionada y Bloqueada por Cato.
Los siguientes diagramas muestran un ejemplo de uso de Cato como servidor DNS cuando ha configurado una excepción en la política de túnel dividido para el servidor DNS local.
Una vez que hay una excepción, el servicio de relé DNS se implementa automáticamente para facilitar la resolución adecuada. Cato ha añadido el servicio de relé DNS para gestionar solicitudes DNS y determinar si la solicitud debe pasar por el DNS de Cato o el DNS local.
Esta sección muestra el flujo cuando envía una solicitud DNS para un dominio local, que se envía al servidor DNS local.
-
Un host solicita resolver un dominio local (*.local.org).
-
El relé DNS intercepta la solicitud y la redirige al servidor DNS local (192.168.5.5), que reside en el mismo sitio que el host. El relé DNS utiliza la misma IP que el host (ya que es solo un componente y no tiene otra interfaz física).
-
El servidor DNS local envía de vuelta la respuesta al host de origen.
-
El relé DNS intercepta la respuesta y la redirige al host de origen.
Esta sección muestra el flujo cuando envía una solicitud DNS para un dominio público a través del servidor DNS de Cato.
-
Un host solicita resolver un dominio público, por ejemplo, cnn.com.
-
El relé DNS intercepta la solicitud y la redirige al servidor DNS de Cato (10.254.254.1). El relé DNS utiliza la misma dirección IP que el host (ya que es solo un componente y no tiene otra interfaz física).
-
El PoP luego reenvía la consulta DNS a un servidor DNS confiable y realiza SNAT.
-
El servidor DNS confiable envía la respuesta al PoP.
-
Cuando el servidor DNS confiable envía de vuelta la respuesta, el PoP traduce las direcciones IP de origen y destino y reenvía la respuesta al host de origen.
-
El relé DNS intercepta la respuesta y la redirige al host de origen
0 comentarios
Inicie sesión para dejar un comentario.