Configuration de l’appareil en tant que proxy DNS
Le système d’exploitation Junos (Junos OS) intègre la prise en charge du système de noms de domaine (DNS), ce qui vous permet d’utiliser des noms de domaine et des adresses IP pour identifier des emplacements. Un serveur DNS conserve une table des adresses IP associées aux noms de domaine. L’utilisation du DNS permet à un périphérique SRX300, SRX320, SRX340, SRX345, SRX550M ou SRX1500 de référencer des emplacements par nom de domaine (par exemple, www.example.net) en plus d’utiliser l’adresse IP routable.
Les fonctionnalités DNS comprennent :
-
Cache proxy DNS : l’appareil envoie par proxy les demandes de résolution de nom d’hôte pour le compte des clients derrière le pare-feu SRX Series. Le proxy DNS améliore les performances de recherche de domaine en utilisant la mise en cache.
-
Split DNS : l’appareil redirige les requêtes DNS via une connexion sécurisée vers un serveur DNS spécifié dans le réseau privé. Split DNS empêche les utilisateurs malveillants d’apprendre la configuration du réseau, et donc également les fuites d’informations de domaine. Une fois configuré, le split DNS fonctionne de manière transparente.
-
Client DNS dynamique (DDNS) : les serveurs protégés par l’appareil restent accessibles malgré les changements d’adresse IP dynamique. Par exemple, un serveur Web protégé continue d’être accessible avec le même nom d’hôte, même après que l’adresse IP dynamique a été modifiée en raison de la réaffectation de l’adresse par le protocole DHCP (Dynamic Host Configuration Protocol) ou le protocole PPP (Point-to-Point Protocol) par le fournisseur d’accès à Internet (FAI).
Pour configurer l’appareil en tant que proxy DNS, vous devez activer le DNS sur une interface logique et configurer les serveurs proxy DNS. La configuration d’un cache statique permet aux appareils des filiales et de l’entreprise d’utiliser des noms d’hôte pour communiquer. La configuration des clients DNS dynamiques (DDNS) autorise les changements d’adresse IP.
Effectuez la procédure suivante pour configurer l’appareil en tant que serveur proxy DNS en activant le proxy DNS sur une interface logique (par exemple, ge-2/0/0.0) et en configurant un ensemble de serveurs de noms à utiliser pour résoudre les noms de domaine spécifiés. Vous pouvez spécifier un nom de domaine par défaut à l’aide d’un astérisque (*), puis configurer un ensemble de serveurs de noms pour la résolution. Utilisez cette approche lorsque vous avez besoin de serveurs de noms globaux pour résoudre des entrées de noms de domaine qui n’ont pas de serveur de noms spécifique configuré.
-
Proxy DNS avec configuration DNS non fractionnée
-
Activez le proxy DNS sur une interface logique.
[edit] user@host# set system services dns dns-proxy interface ge-0/0/3.0
-
Définissez le résolveur dns pour transférer la requête dns reçue.
[edit] user@host# set system services dns forwarders 192.0.2.0
-
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Pour vérifier si la configuration fonctionne correctement, exécutez la commande show.
user@host# show system services dns-proxy statistics
-
-
Proxy DNS avec configuration DNS fractionnée
-
Activez le proxy DNS sur une interface logique.
[edit] user@host# set system services dns dns-proxy interface ge-2/0/0.0
-
Configurez l’affichage pour le DNS fractionné, spécifiez l’interface IP interne pour gérer la requête DNS et affichez l’adresse du sous-réseau logique.
[edit] user@host# set system services dns dns-proxy view internal match-clients 10.1.1.0/24
-
Définissez un nom de domaine interne par défaut et spécifiez le serveur IP pour le transfert de la requête DNS en fonction de leurs adresses IP.
[edit] user@host# set system services dns dns-proxy view internal domain aa.internal.com forwarders 10.1.1.1 user@host# set system services dns dns-proxy view internal domain bb.internal.com forwarders 10.2.2.2
-
Configurez l’affichage pour le DNS fractionné, spécifiez l’interface IP externe pour gérer la requête DNS et affichez l’adresse de sous-réseau logique.
[edit] user@host# set system services dns dns-proxy view external match-clients 10.11.1.0/24
-
Définissez un nom de domaine externe par défaut et spécifiez le serveur IP pour le transfert de la requête DNS en fonction de leurs adresses IP.
[edit] user@host# set system services dns dns-proxy view external domain aa.external.com forwarders 10.3.3.3 user@host# set system services dns dns-proxy view external domain bb.external.com forwarders 10.4.4.4
-
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Pour vérifier si la configuration fonctionne correctement, exécutez la commande show.
user@host# show system services dns-proxy statistics
-
-
Configuration du cache du proxy DNS
-
Configurez les entrées de cache statique du proxy DNS pour spécifier l’adresse IPv4 de l’hôte.
[edit] user@host# set system services dns dns-proxy cache aa.example.net inet 10.10.10.10 user@host# set system services dns dns-proxy cache bb.example.net inet 10.20.20.20
-
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Pour vérifier si la configuration fonctionne correctement, exécutez la commande show.
user@host# show system services dns-proxy cache
-
-
Configuration dynamique du proxy DNS
-
Activez le client.
[edit] user@host# set system services dynamic-dns client abc.com agent juniper interface ge-2/0/0.0 username test password test123
-
Configurez le serveur.
[edit] user@host# set system services dynamic-dns client abc.com agent juniper interface ge-2/0/0.0 username test password test123 server ddo user@host# set system services dynamic-dns client abc.com agent juniper interface ge-2/0/0.0 username test password test123 server dyndns
-
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Pour vérifier le bon fonctionnement de la configuration
user@host# show system services dynamic-dns client
-