Exemples de Flux DNS en Utilisant Cato comme Votre Serveur DNS

Cet article fournit des exemples de flux DNS lorsque vous utilisez Cato comme votre serveur DNS.

Exemples de diagrammes de flux DNS

Cette section montre plusieurs exemples de flux DNS. Chacun explique comment le service DNS de Cato fonctionne dans une configuration différente.

Utilisation de Cato en tant que serveur DNS

Le diagramme suivant montre un exemple de compte utilisant le serveur DNS de Cato (10.254.254.1). Le même flux s'applique à tout serveur DNS de confiance.

  1. Un hôte demande à résoudre un domaine public (abc.com).

  2. Le PoP de Cato intercepte la requête DNS et vérifie l'adresse IP de destination. Le PoP effectue une inspection DNS, vérifie les règles de réacheminement DNS et les enregistrements DNS locaux dans le cache.

  3. Aucun enregistrement DNS correspondant n'est identifié dans le cache.

  4. Le PoP transfère alors la requête DNS à un serveur DNS de confiance et effectue un SNAT.

  5. Lorsque le serveur DNS de confiance renvoie la réponse, le PoP remplace à nouveau les adresses IP source et destination et transmet la réponse à l'hôte d'origine.

    Le PoP stocke également la réponse DNS dans le cache.

mceclip0.png

Utilisation d'un serveur DNS non fiable

Le diagramme suivant montre un exemple d'utilisation d'un serveur DNS non fiable (adresse IP : 208.67.222.222 - OpenDNS).

  1. Le PoP transfère la requête DNS "telle quelle" à la destination (abc.com) sur Internet.

  2. Le PoP applique la politique de Protection DNS et la mise en cache DNS.

  3. Le PoP effectue un NAT sur l'adresse IP source (avec l'adresse IP publique du PoP).

    Le PoP ne réalise pas d'inspection DNS ni n'applique de règles de réacheminement DNS.

mceclip1.png

Utilisation des règles de transfert DNS

Le diagramme suivant montre un exemple d'une requête DNS au service DNS de Cato (10.254.254.1) lorsque des règles de réacheminement DNS sont appliquées (*.local.org).

  1. Le PoP inspecte la requête DNS et vérifie les règles de réacheminement.

  2. Le PoP redirige la requête DNS vers le serveur DNS distant (192.168.5.5).

    Le PoP ne met pas en cache les réponses DNS d'un serveur DNS de réacheminement.

    Si l'hôte et le serveur DNS sont sur le même site, l'adresse IP source de ces paquets est 10.254.254.1

mceclip2.png

Utilisation d'un serveur DNS privé non fiable

Le diagramme suivant montre un exemple d'utilisation d'un serveur DNS privé non fiable (192.168.5.5).

  1. Le PoP transfère la requête DNS à la destination "telle quelle" sur le WAN.

  2. Le PoP applique la politique de Protection DNS et la mise en cache DNS.

  3. Le PoP n'effectue pas d'inspection DNS et les règles de transfert DNS ne sont pas appliquées.

Remarque : La réponse DNS continue de remplir le champ dname utilisé par le pare-feu Internet et les règles réseau. Cela signifie que la réponse pourrait être inspectée et bloquée par Cato.

mceclip3.png

Utiliser Cato comme serveur DNS avec un relais DNS

Les diagrammes suivants montrent un exemple d'utilisation de Cato comme serveur DNS lorsque vous avez configuré une exception dans la politique de tunnel fractionné pour le serveur DNS local.

Une fois qu'il y a une exception, le service relais DNS est automatiquement mis en œuvre pour faciliter la résolution correcte. Le service relais DNS a été ajouté par Cato pour gérer les requêtes DNS et déterminer si la requête doit passer par le DNS de Cato ou le DNS local.

Requête de domaine local

Cette section montre le flux lorsque vous envoyez une requête DNS pour un domaine local, qui est envoyée au serveur DNS local.

  1. Un hôte demande à résoudre un domaine local (*.local.org).

  2. Le relais DNS intercepte la requête et la redirige vers le serveur DNS local (192.168.5.5), qui se trouve sur le même site que l'hôte. Le relais DNS utilise le même IP que l'hôte (car il n'est qu'un composant de celui-ci, et n'a pas d'autre interface physique).

  3. Le serveur DNS local renvoie la réponse à l'hôte d'origine.

  4. Le relais DNS intercepte la réponse et la redirige vers l'hôte d'origine.

local-dns-flow.png

Requête de domaine public

Cette section montre le flux lorsque vous envoyez une requête DNS pour un domaine public via le serveur DNS Cato.

  1. Un hôte demande à résoudre un domaine public, par exemple cnn.com.

  2. Le relais DNS intercepte la requête et la redirige vers le serveur DNS Cato (10.254.254.1). Le relais DNS utilise la même adresse IP que l'hôte (car il n'est qu'un composant de celui-ci, et n'a pas d'autre interface physique).

  3. Le PoP transfère ensuite la requête DNS à un serveur DNS de confiance et effectue le SNAT.

  4. Le serveur DNS de confiance envoie la réponse au PoP.

  5. Lorsque le serveur DNS de confiance renvoie la réponse, le PoP traduit les adresses IP source et destination et transmet la réponse à l'hôte d'origine.

  6. Le relais DNS intercepte la réponse et la redirige vers l'hôte d'origine

Cato-DNS-Relay.png

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 4 sur 7

0 commentaire