Este artigo fornece exemplos de fluxos DNS quando usando Cato como seu servidor DNS.
Esta seção mostra vários exemplos de fluxos DNS. Cada um explica como o serviço DNS de Cato funciona em uma configuração diferente.
O diagrama a seguir mostra um exemplo de uma conta que usa o servidor DNS Cato (10.254.254.1). O mesmo fluxo se aplica a qualquer servidor DNS confiável.
-
Um host solicita resolver um domínio público (abc.com).
-
O PoP do Cato intercepta a consulta DNS e verifica o endereço IP de destino. O PoP realiza inspeção DNS, verifica as regras de encaminhamento de DNS e os registros DNS locais no cache.
-
Nenhum registro DNS correspondente é identificado no cache.
-
O PoP então encaminha a consulta DNS para um servidor DNS confiável e executa o SNAT.
-
Quando o servidor DNS confiável envia de volta a resposta, o PoP traduz novamente os endereços IP de origem e destino e encaminha a resposta para o host de origem.
O PoP também armazena a resposta DNS no cache.
O diagrama a seguir mostra um exemplo de uso de um servidor DNS não confiável (Endereço IP: 208.67.222.222 - OpenDNS).
-
O PoP encaminha a consulta DNS "como está" para o destino (abc.com) pela Internet.
-
O PoP aplica a política de Proteção DNS e cache DNS.
-
O PoP realiza NAT no endereço IP de origem (com o endereço IP público do PoP).
O PoP não realiza inspeção DNS ou regras de encaminhamento de DNS.
O diagrama a seguir mostra um exemplo de uma consulta DNS para o serviço DNS da Cato (10.254.254.1) quando as regras de encaminhamento de DNS são aplicadas (*.local.org).
-
O PoP inspeciona a consulta DNS e verifica as regras de encaminhamento.
-
O PoP redireciona a consulta DNS para o servidor DNS remoto (192.168.5.5).
O PoP não armazena em cache respostas DNS de um servidor DNS de encaminhamento.
Se o host e o servidor DNS estiverem no mesmo site, o IP de origem desses pacotes é 10.254.254.1
O diagrama a seguir mostra um exemplo de uso de um servidor DNS privado não confiável (192.168.5.5).
-
O PoP encaminha a consulta DNS para o destino "como está" via WAN.
-
O PoP aplica a política de Proteção DNS e cache DNS.
-
O PoP não executa a inspeção de DNS e as regras de encaminhamento de DNS não são aplicadas.
Nota: A resposta DNS ainda preenche o campo dname usado pelo Firewall da Internet e Regras de Rede. Isso significa que a resposta pode ser inspecionada e bloqueada pelo Cato.
Os diagramas a seguir mostram um exemplo de uso do Cato como servidor DNS quando você configurou uma exceção na política de Túnel Dividido para o servidor DNS local.
Uma vez que há uma exceção, o serviço de relé DNS é automaticamente implementado para facilitar a resolução adequada. O serviço de relé DNS foi adicionado pelo Cato para gerenciar solicitações DNS e determinar se a solicitação precisa passar pelo DNS Cato ou pelo DNS local.
Esta seção mostra o fluxo quando você envia uma solicitação DNS para um domínio local, que é enviada para o servidor DNS local.
-
Um host solicita a resolução de um domínio local (*.local.org).
-
O relé DNS intercepta a solicitação e a redireciona para o servidor DNS local (192.168.5.5), que reside no mesmo Local que o host. O relé DNS usa o mesmo ip que o host (já que é apenas um componente nele, e não tem outra interface física).
-
O servidor DNS local envia a resposta de volta para o host originador.
-
O relé DNS intercepta a resposta e a redireciona para o host originador.
Esta seção mostra o fluxo quando você envia uma solicitação DNS para um domínio público através do servidor DNS Cato.
-
Um host solicita a resolução de um domínio público, por exemplo, cnn.com.
-
O relé DNS intercepta a solicitação e a redireciona para o servidor DNS Cato (10.254.254.1). O relé DNS usa o mesmo endereço IP que o host (já que é apenas um componente nele, e não tem outra interface física).
-
O PoP então encaminha a consulta DNS para um servidor DNS confiável e realiza SNAT.
-
O servidor DNS confiável envia a resposta para o PoP.
-
Quando o servidor DNS confiável envia a resposta de volta, o PoP traduz os endereços IP de origem e destino e encaminha a resposta para o host originador.
-
O relé DNS intercepta a resposta e a redireciona para o host originador
0 comentário
Por favor, entre para comentar.