使用Cato作为您的DNS服务器的DNS流示例

本文提供了使用Cato作为DNS服务器时的DNS流示例。

DNS流量示例图

本节显示了几个DNS流示例。 每个示例解释了在不同配置中Cato的DNS服务如何工作。

使用Cato作为DNS服务器

下图显示了一个使用Cato DNS服务器的账户示例(10.254.254.1)。 相同的流量适用于任何可信DNS服务器。

  1. 主机请求解析公共域名(abc.com)。

  2. Cato POP拦截DNS查询并检查目标IP地址。 PoP执行DNS检查,检查DNS转发规则和缓存中的本地DNS记录。

  3. 缓存中没有找到匹配的DNS记录。

  4. 然后PoP将DNS查询转发到可信DNS服务器并执行SNAT。

  5. 当可靠的DNS服务器返回响应时,PoP将源和目标IP地址翻译回并将响应转发到原始主机。

    PoP还在缓存中存储DNS响应。

mceclip0.png

使用不信任的DNS服务器

下图显示了一个使用不可信的DNS服务器的示例(IP地址:208.67.222.222 - OpenDNS)。

  1. PoP将DNS查询“原样”转发到互联网上的目标(abc.com)。

  2. PoP对源IP地址执行NAT(使用PoP公共IP地址)。

    PoP不执行DNS检查,也不应用DNS转发规则。

mceclip1.png

使用DNS转发规则

下图显示了应用DNS转发规则时(*.local.org)对Cato的DNS服务(10.254.254.1)的DNS查询示例。

  1. PoP检查DNS查询,并检查转发规则。

  2. PoP将DNS查询重定向到远程DNS服务器(192.168.5.5)。

    PoP不缓存来自转发DNS服务器的DNS响应。

    如果主机和DNS服务器在同一站点,这些数据包的源IP是10.254.254.1

mceclip2.png

使用不信任的私有DNS服务器

下图显示了使用不可信的私有DNS服务器的示例(192.168.5.5)。

  1. PoP将DNS查询“原样”通过WAN转发到目的地。

  2. PoP不执行DNS检查,DNS转发规则也不应用。

注意: DNS响应仍会填充互联网防火墙和网络规则使用的dname字段。 这意味着响应可能会被Cato检查和阻止。

 

mceclip3.png

这篇文章有帮助吗?

6 人中有 3 人觉得有帮助

0 条评论