Примеры потоков DNS при использовании Cato в качестве вашего DNS сервера

Эта статья предоставляет примеры потоков DNS при использовании Cato в качестве вашего DNS-сервера.

Примеры диаграмм потоков DNS

В этом разделе показано несколько примеров потоков DNS. Каждый пример объясняет, как работает сервис DNS Cato в разных конфигурациях.

Использование Cato в качестве DNS-сервера

На следующей диаграмме показан пример учетной записи, использующей DNS сервер Cato (10.254.254.1). Тот же поток применяется к любому доверенному DNS серверу.

  1. Хост запрашивает разрешение публичного домена (abc.com).

  2. PoP Cato перехватывает DNS запрос и проверяет IP-адрес назначения. PoP выполняет инспекцию DNS, проверяет правила перенаправления DNS и локальные записи DNS в кэше.

  3. В кэше не найдены подходящие записи DNS.

  4. PoP затем перенаправляет DNS запрос на доверенный DNS сервер и выполняет SNAT.

  5. Когда доверенный DNS сервер отправляет обратно ответ, PoP снова переводит исходный и конечный IP-адреса и отправляет ответ на исходный хост.

    PoP также сохраняет ответ DNS в кэше.

mceclip0.png

Использование ненадежного DNS-сервера

На следующей диаграмме показан пример использования недоверенного DNS сервера (IP-адрес: 208.67.222.222 - OpenDNS).

  1. PoP пересылает DNS-запрос "как есть" к пункту назначения (abc.com) через Интернет.

  2. PoP применяет политику защиты DNS и DNS-кэширование.

  3. PoP выполняет NAT на IP-адрес источника (с публичным IP адресом PoP).

    PoP не проводит инспекцию DNS и не применяет правила перенаправления DNS.

mceclip1.png

Использование правил перенаправления DNS

На следующей диаграмме показан пример DNS запроса к сервису DNS Cato (10.254.254.1) при применении правил перенаправления DNS (*.local.org).

  1. PoP проверяет DNS запрос и проверяет наличие правил перенаправления.

  2. PoP перенаправляет DNS запрос на удаленный DNS сервер (192.168.5.5).

    PoP не кэширует DNS-ответы от DNS сервера перенаправления.

    Если хост и DNS-сервер находятся на одной площадке, то IP-адрес источника этих пакетов — 10.254.254.1

mceclip2.png

Использование ненадежного частного DNS-сервера

На следующей диаграмме показан пример использования недоверенного частного DNS сервера (192.168.5.5).

  1. PoP перенаправляет DNS запрос на адрес назначения "как есть" через WAN.

  2. PoP применяет политику защиты DNS и DNS-кэширование.

  3. Узел PoP не выполняет проверку DNS, и правила пересылки DNS не применяются.

Примечание: Ответ DNS все еще заполняет поле dname, используемое Интернет-брандмауэром и сетевыми правилами. Это означает, что ответ может быть инспектирован и заблокирован Cato.

mceclip3.png

Использование Cato в качестве DNS-сервера с DNS-перенаправлением

Следующие диаграммы показывают пример использования Cato в качестве DNS-сервера, когда вы настроили исключение в политике разделения туннеля для локального DNS-сервера.

Когда имеется исключение, служба DNS-перенаправления автоматически реализуется для облегчения правильного разрешения. Служба DNS-перенаправления была добавлена Cato для управления DNS-запросами и определения, нужно ли запрос пропустить через DNS Cato или локальный DNS.

Запрос локального домена

В этом разделе показан поток при отправке DNS-запроса для локального домена, который отправляется на локальный DNS-сервер.

  1. Хост запрашивает разрешение локального домена (*.local.org).

  2. DNS-перенаправление перехватывает запрос и перенаправляет его на локальный DNS-сервер (192.168.5.5), который находится на той же площадке, что и хост. DNS-перенаправление использует тот же IP, что и хост (так как это всего лишь его компонент и у него нет другого физического интерфейса).

  3. Локальный DNS-сервер отправляет ответ исходному хосту.

  4. DNS-перенаправление перехватывает ответ и перенаправляет его исходному хосту.

local-dns-flow.png

Запрос общественного домена

В этом разделе показан поток при отправке DNS-запроса для общественного домена через сервер DNS Cato.

  1. Хост запрашивает разрешение общественного домена, например, cnn.com.

  2. DNS-перенаправление перехватывает запрос и перенаправляет его на сервер DNS Cato (10.254.254.1). DNS-перенаправление использует тот же IP-адрес, что и хост (так как это всего лишь его компонент и у него нет другого физического интерфейса).

  3. Затем PoP пересылает DNS-запрос доверенному DNS-серверу и выполняет SNAT.

  4. Доверенный DNS-сервер отправляет ответ на PoP.

  5. Когда доверенный DNS-сервер отправляет обратно ответ, PoP преобразует исходные и целевые IP-адреса и пересылает ответ исходному хосту.

  6. DNS-перенаправление перехватывает ответ и перенаправляет его исходному хосту

Cato-DNS-Relay.png

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 7

0 комментариев