Cet article fournit des exemples de flux DNS lorsque vous utilisez Cato comme votre serveur DNS.
Cette section montre plusieurs exemples de flux DNS. Chacun explique comment le service DNS de Cato fonctionne dans une configuration différente.
Le diagramme suivant montre un exemple de compte utilisant le serveur DNS de Cato (10.254.254.1). Le même flux s'applique à tout serveur DNS de confiance.
-
Un hôte demande à résoudre un domaine public (abc.com).
-
Le PoP de Cato intercepte la requête DNS et vérifie l'adresse IP de destination. Le PoP effectue une inspection DNS, vérifie les règles de réacheminement DNS et les enregistrements DNS locaux dans le cache.
-
Aucun enregistrement DNS correspondant n'est identifié dans le cache.
-
Le PoP transfère alors la requête DNS à un serveur DNS de confiance et effectue un SNAT.
-
Lorsque le serveur DNS de confiance renvoie la réponse, le PoP remplace à nouveau les adresses IP source et destination et transmet la réponse à l'hôte d'origine.
Le PoP stocke également la réponse DNS dans le cache.
Le diagramme suivant montre un exemple d'utilisation d'un serveur DNS non fiable (adresse IP : 208.67.222.222 - OpenDNS).
-
Le PoP transfère la requête DNS "telle quelle" à la destination (abc.com) sur Internet.
-
Le PoP effectue un NAT sur l'adresse IP source (avec l'adresse IP publique du PoP).
Le PoP ne réalise pas d'inspection DNS ni n'applique de règles de réacheminement DNS.
Le diagramme suivant montre un exemple d'une requête DNS au service DNS de Cato (10.254.254.1) lorsque des règles de réacheminement DNS sont appliquées (*.local.org).
-
Le PoP inspecte la requête DNS et vérifie les règles de réacheminement.
-
Le PoP redirige la requête DNS vers le serveur DNS distant (192.168.5.5).
Le PoP ne met pas en cache les réponses DNS d'un serveur DNS de réacheminement.
Si l'hôte et le serveur DNS sont sur le même site, l'adresse IP source de ces paquets est 10.254.254.1
Le diagramme suivant montre un exemple d'utilisation d'un serveur DNS privé non fiable (192.168.5.5).
-
Le PoP transfère la requête DNS à la destination "telle quelle" sur le WAN.
-
Le PoP ne réalise pas d'inspection DNS et les règles de réacheminement DNS ne sont pas appliquées.
Note : La Réponse DNS peuple toujours le champ dname utilisé par le Pare-feu Internet et les Règles réseau. Cela signifie que la réponse pourrait être inspectée et bloquée par Cato.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.