Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Introducción a proxy DNS

Un proxy del sistema de nombres de dominio (DNS) permite a los clientes usar un dispositivo SRX300, SRX320, SRX340, SRX345, SRX550M o SRX1500 como servidor proxy DNS. Un proxy DNS mejora el rendimiento de la búsqueda de dominios mediante el almacenamiento en caché de búsquedas anteriores. Un proxy DNS típico procesa las consultas DNS emitiendo una nueva consulta de resolución DNS en cada servidor de nombres detectado hasta que se resuelve el nombre de host.

Caché de proxy DNS

Cuando un proxy DNS resuelve una consulta DNS, el resultado se almacena en la caché dns del dispositivo. Esta caché almacenada ayuda al dispositivo a resolver las consultas subsiguientes desde el mismo dominio y evitar el retraso en la latencia de la red.

Si la caché de proxy no está disponible, el dispositivo envía la consulta al servidor DNS configurado, lo que provoca retrasos en la latencia de la red.

El proxy DNS mantiene una entrada de caché por cada consulta DNS que se haya resuelto. Estas entradas tienen un temporizador de tiempo de vida (TTL), por lo que el dispositivo purga cada entrada de la memoria caché mientras alcanza su TTL y caduca. Puede borrar una caché utilizando el clear system services dns-proxy cache comando o la caché caducará automáticamente junto con TTL cuando vaya a cero.

Proxy DNS con DNS dividido

La característica de proxy DNS dividido le permite configurar el servidor proxy para dividir la consulta DNS basándose tanto en la interfaz como en el nombre de dominio. También puede configurar un conjunto de servidores de nombres y asociar entonces con un nombre de dominio dado. Cuando consulta ese nombre de dominio, el dispositivo envía las consultas DNS únicamente a aquellos servidores de nombres que estén configurados para ese nombre de dominio para garantizar la localización de consultas DNS.

Puede configurar el método de transporte que se usa para resolver un nombre de dominio determinado; por ejemplo, cuando el dispositivo se conecta a la red corporativa mediante una VPN IPsec o cualquier otro túnel seguro. Cuando configure un túnel VPN seguro para transportar los nombres de dominio que pertenecen a la red corporativa, las consultas de resolución DNS no se pierden en el servidor DNS del ISP y se encuentran en la red corporativa.

También puede configurar un conjunto de dominios predeterminados (*) y servidores de nombres en el dominio predeterminado para resolver las consultas DNS de un dominio en el que no está configurado un servidor de nombres.

Cada proxy DNS debe estar asociado con una interfaz. Si una interfaz no tiene configuración de proxy DNS, se perderán todas las consultas DNS recibidas en esa interfaz.

Figura 1muestra cómo funciona el proxy DNS dividido en una red corporativa.

Figura 1: Proxy DNS con DNS divididoProxy DNS con DNS dividido

En la red corporativa mostrada en , un cliente de PC que señala al dispositivo serie SRX como su servidor DNS realiza dos consultas: www.your-isp.com y www.intranet.com, El proxy DNS redirige el www.intranet.com, la consulta al servidor DNS de Figura 1 www.intranet.com (203.0.113.253), mientras que la consulta www.your-isp.com se redirige al servidor DNS del ISP (209.100.3.130). Aunque la consulta para www.your-isp.com se envía al servidor DNS del ISP como una consulta DNS normal mediante protocolos de texto sin formato (TCP/UDP), la consulta para el dominio de www.intranet.com va a los servidores DNS de la intranet mediante un túnel VPN seguro.

Un proxy DNS dividido ofrece las siguientes ventajas:

  • Las búsquedas de dominio suelen ser más eficientes. Por ejemplo, las consultas DNS dirigidas a un dominio corporativo (como acme.com) pueden dirigirse únicamente al servidor DNS corporativo, mientras que las demás van al servidor DNS del ISP. La división de las búsquedas DNS reduce la carga en el servidor corporativo y también puede impedir que la información de dominio corporativo entre en Internet.

  • Un proxy DNS le permite transmitir consultas DNS seleccionadas a través de una interfaz de túnel, lo que impide que usuarios malintencionados obtengan acceso a la configuración interna de una red. Por ejemplo, las consultas DNS enlazadas al servidor corporativo pueden pasar a través de una interfaz de túnel para utilizar características de seguridad tales como la autenticación y el cifrado.

Cliente del sistema de nombres de dominio dinámico

El DNS dinámico (DDNS) permite a los clientes actualizar dinámicamente direcciones IP para nombres de dominio registrados. Esta característica resulta útil cuando un ISP utiliza el Protocolo punto a punto (PPP), el protocolo de configuración dinámica de host (DHCP) o autenticación externa (XAuth) para cambiar dinámicamente la dirección IP de un enrutador del equipo local (CPE) del cliente (como un dispositivo de seguridad) que protege un servidor Web. Los clientes de Internet pueden tener acceso al servidor Web utilizando un nombre de dominio aunque la dirección IP del dispositivo de seguridad haya cambiado con anterioridad dinámicamente.

Un servidor DDNS mantiene una lista de direcciones cambiadas dinámicamente y sus nombres de dominio asociados. El dispositivo actualiza estos servidores DDNS con esta información periódicamente o en respuesta a los cambios en las direcciones IP. El cliente DDNS de Junos OS es compatible con los servidores DDNS más conocidos, como dyndns.org y ddo.jp

Figura 2muestra cómo funciona el cliente DDNS.

Figura 2: Dinámicas de DNS Dinámicas de DNS

Traducción de direcciones de red (TDR) traduce la dirección IP del servidor Web interno a la dirección IP de la interfaz de zona que no es de confianza del dispositivo. El nombre de host abc-host.com está registrado en el servidor DDNS y se asocia con la dirección IP de la interfaz de zona de no confianza del dispositivo, la cual es supervisada por el cliente DDNS en el dispositivo. Cuando se cambia la dirección IP de abc-host.com, se informa al servidor DDNS de la nueva dirección.

Si un cliente en la red mostrado en Figura 2 necesita tener acceso a ABC-host.com, el cliente consulta a los servidores DNS en Internet. Cuando la consulta llega al servidor DDNS, resuelve la solicitud y proporciona al cliente la última dirección IP de abc-host.com.