8.1  Modul DNS

Modul DNS slouží ve WinRoute ke zjednodušení konfigurace DNS na počítačích v lokální síti a pro zrychlení odpovědí na opakované DNS dotazy. DNS na lokálních počítačích lze obecně nastavit jedním z následujících způsobů:

Je-li to možné, doporučujeme použít modul DNS jako primární DNS server pro počítače v lokální síti (poslední z uvedených možností). Tento modul zajistí rychlé zpracování DNS dotazů a jejich správné směrování ve složitějších síťových konfiguracích. Na opakované dotazy a dotazy na lokální DNS jména dokáže modul DNS odpovědět přímo, aniž by musel komunikovat s DNS servery v Internetu.

Pokud nedokáže modul DNS zodpovědět DNS dotaz sám, může jej předat na některý z DNS serverů nastavených na internetové lince, přes kterou je dotaz odesílán. Podrobnosti o konfiguraci síťových rozhraní firewallu naleznete v kapitole 5  Síťová rozhraní, bližší informace o možnostech internetového připojení v kapitole 6  Internetové připojení.

Konfigurace modulu DNS

Ve výchozím nastavení WinRoute je povolen DNS server (služba DNS forwarder), cache pro rychlejší odpovědi na opakované dotazy a jednoduchý převod DNS jmen.

Podrobnou konfiguraci lze provést v sekci Konfigurace → DNS.

Nastavení parametrů modulu DNS

Obrázek 8.1. Nastavení parametrů modulu DNS


Povolit službu DNS forwarder

Tato volba zapíná / vypíná DNS server ve WinRoute. Bez další konfigurace jsou všechny DNS dotazy předávány DNS serverům nastaveným na příslušném internetovém rozhraní.

Je-li služba DNS forwarder vypnuta, slouží modul DNS pouze jako DNS resolver pro potřeby WinRoute.

Upozornění

Pokud ve vaší síťové konfiguraci nepoužijete DNS forwarder, můžete jej vypnout. Chcete-li na tomtéž počítači provozovat jiný DNS server, pak jej musíte vypnout — jinak by nastala kolize na portu služby DNS (53/UDP).

Používat cache pro rychlejší odpovědi

Zapnutím této volby budou odpovědi na všechny dotazy ukládány do lokální vyrovnávací paměti (cache) modulu DNS. Odpovědi na opakované dotazy tak budou mnohonásobně rychlejší (opakovaným dotazem je i stejný dotaz vyslaný různými klienty).

Fyzicky je DNS cache udržována v operační paměti, zároveň jsou však všechny DNS záznamy ukládány také do souboru DnsCache.cfg (viz kapitola 25.2  Konfigurační soubory). Díky tomu zůstávají záznamy v DNS cache uchovány i při zastavení WinRoute Firewall Engine, resp. vypnutí firewallu.

Poznámka:

  1. Doba uchování DNS záznamů v cache je specifikována přímo v každém záznamu (zpravidla 1 den).

  2. Použití DNS cache zrychlí také činnost netransparentního proxy serveru ve WinRoute (viz kapitola 8.4  Proxy server).

Vyprázdnit cache

Smazání všech záznamů ve vyrovnávací paměti modulu DNS (bez ohledu na jejich dobu životnosti). Tuto funkci lze využít např. při změně konfigurace, při testování vytáčení na žádost, odhalování chyb apod.

Použít nastavení pro předávání DNS dotazů

Tato volba aktivuje pravidla pro předávání DNS dotazů na jiné DNS servery (viz dále).

Jednoduchý převod DNS jmen

Modul DNS může určité DNS dotazy zodpovídat sám, typicky dotazy na jména počítačů v lokální síti. V lokální síti tak není potřeba žádný další DNS server ani není nutné ukládat informace o lokálních počítačích do veřejné DNS. Pro počítače konfigurované automaticky protokolem DHCP (viz kapitola 8.2  DHCP server) bude odpověď obsahovat vždy aktuální IP adresu.

Před předáním dotazu jinému DNS serveru...

Tyto volby umožňují nastavit, kde má modul DNS vyhledávat dotazované jméno (resp. IP adresu) předtím, než dotaz případně předá jinému DNS serveru.

  • Systémový soubor 'hosts' — tento soubor se nalézá v každém operačním systému, který podporuje TCP/IP. Každý řádek tohoto souboru obsahuje IP adresu počítače a seznam odpovídajících DNS jmen. Při každém DNS dotazu je nejprve prohledáván tento soubor, zda se v něm nachází požadované jméno (případně IP adresa), a teprve pak (není-li nalezeno) se dotaz předává DNS serveru.

    Stejným způsobem se chová modul DNS, je-li tato volba zapnuta. Tlačítko Editovat otevírá speciální editor, kterým lze soubor hosts upravovat přímo v Administration Console, a to i v případě, kdy je k WinRoute připojena vzdáleně (tj. z jiného počítače).

    Editor systémového souboru hosts

    Obrázek 8.2. Editor systémového souboru hosts


  • Tabulka adres přidělených DHCP serverem — jsou-li počítače v lokální síti konfigurovány pomocí DHCP serveru ve WinRoute (viz kapitola 8.2  DHCP server), pak má DHCP server informace o tom, jaká IP adresa byla přiřazena kterému počítači. Počítač při startu systému vysílá požadavek na přidělení IP adresy, který obsahuje i jméno počítače.

    Modul DNS má přístup do tabulek DHCP serveru a může tedy zjistit, jaká IP adresa je v tomto okamžiku přidělena danému jménu počítače. Na dotaz na jméno počítače v lokální síti tedy vždy odpoví správnou (aktuální) IP adresou. Tímto způsobem dochází de facto k dynamické aktualizaci DNS.

Poznámka: Pokud jsou obě uvedené volby vypnuty, pak modul DNS předává všechny dotazy jiným DNS serverům.

Lokální DNS doména

Do pole Při prohledávání souboru 'hosts' nebo tabulky přidělených adres kombinovat jméno s touto DNS doménou je třeba zadat jméno lokální DNS domény.

Jestliže počítač nebo síťové zařízení vysílá požadavek na přidělení IP adresy, vkládá do něj pouze své jméno (doménu v tomto okamžiku ještě nezná). V tabulce adres přidělených DHCP serverem jsou proto uložena pouze jména počítačů bez domény. Aby modul DNS dokázal správně zodpovídat dotazy na plně kvalifikovaná lokální DNS jména (tj. jména včetně domény), musí znát jméno lokální domény.

Poznámka: Je-li v modulu DNS zadána lokální doména, pak mohou být v systémovém souboru hosts uvedena lokální jména včetně domény nebo bez ní — v obou případech budou dotazy zodpovídány správně.

Pro snazší pochopení uveďme jednoduchý příklad.

Příklad

Lokální doména má jméno firma.cz. V lokální síti je počítač se jménem honza nastavený pro automatickou konfiguraci IP adresy z DHCP serveru. Po startu operačního systému vyšle tento počítač DHCP požadavek obsahující jméno stanice honza. DHCP server mu přidělí IP adresu 192.168.1.56. Ve své tabulce uchová informaci o tom, že tato IP adresa byla přidělena stanici se jménem honza.

Jiný počítač, který bude chtít s tímto počítačem komunikovat, vyšle dotaz na jméno honza.firma.cz (jedná se o počítač honza v doméně firma.cz). Kdyby modul DNS neznal jméno lokální domény, předal by tento dotaz na jiný DNS server (dle nastavení — viz výše), protože by nerozpoznal, že se jedná o lokální počítač. Takto však může lokální doménu firma.cz oddělit a jméno honza s příslušnou IP adresou nalezne v tabulce DHCP serveru.

Nastavení předávání DNS dotazů

Modul DNS umožňuje předávat určité DNS dotazy na specifické DNS servery. Tuto funkci lze využít např. v případě, chceme-li pro lokální doménu používat DNS server v lokální síti (ostatní DNS dotazy budou předávány přímo do Internetu, čímž se zrychlí odezva). Nastavení předávání DNS dotazů je rovněž důležité při konfiguraci virtuálních privátních sítí, kdy je potřeba zajistit správné předání dotazů na jména v doménách vzdálených subsítí (podrobnosti viz kapitola 23  Kerio VPN).

Předávání dotazů se definuje pravidly pro DNS jména nebo subsítě. Pravidla tvoří uspořádaný seznam, který je vždy procházen shora dolů. Pokud DNS jméno nebo subsíť v dotazu vyhovuje některému pravidlu, pak bude tento dotaz předán na specifický DNS server a vyhodnocování pravidel se ukončí. Dotazy, které nevyhovují žádnému pravidlu, jsou předávány na „výchozí“ DNS servery (viz výše).

Poznámka: Je-li aktivní Jednoduchý převod DNS jmen (viz dále), pak se pravidla pro předávání dotazů uplatní pouze v případě, že modul DNS nedokáže dotaz zodpovědět na základě informací ze systémového souboru hosts a/nebo tabulky přidělených adres DHCP serveru.

Tlačítko Definovat v konfiguraci modulu DNS (viz obrázek 8.1  Nastavení parametrů modulu DNS) otevírá dialog pro nastavení pravidel pro předávání DNS dotazů.

Specifická nastavení předávání DNS dotazů

Obrázek 8.3. Specifická nastavení předávání DNS dotazů


Pravidlo lze definovat pro:

  • DNS jméno — pak budou na tento DNS server předávány dotazy na odpovídající jména počítačů (dotazy typu A)

  • subsíť — pak budou na tento DNS server předávány dotazy na IP adresy v příslušné subsíti (reverzní doména — dotazy typu PTR)

Pořadí pravidel v seznamu je možné upravit tlačítky se šipkami v pravé části dialogu. Takto je možné vytvářet složitější kombinace pravidel — např. výjimky pro konkrétní počítače nebo subdomény. Protože je seznam pravidel procházen shora dolů, měla by být pravidla seřazena od nejspecifičtějšího (např. jméno konkrétního počítače) k nejobecnějšímu (např. hlavní doména firmy). Podobně pravidla pro reverzní DNS dotazy by měla být seřazena podle délky masky subsítě (např. od 255.255.255.0255.0.0.0). Pravidla pro dotazy na jména a pro reverzní dotazy jsou vzájemně nezávislá. Pro přehlednost doporučujeme nejprve uvést všechna pravidla pro dotazy na jména a pak všechna pravidla pro reverzní dotazy, případně naopak.

Tlačítko Přidat, resp. Změnit otevírá dialog pro definici pravidla pro předávání DNS dotazů.

Předávání DNS dotazů — nové pravidlo

Obrázek 8.4. Předávání DNS dotazů — nové pravidlo


  • Volba DNS dotaz na jméno slouží ke specifikaci pravidla pro dotazy na jména. Do pole Jestliže dotazované jméno odpovídá výrazu je třeba zadat příslušné DNS jméno (počítač v dané doméně).

    Ve většině případů nechceme předávat dotazy na konkrétní jména, ale pro celé domény. Proto může zadané jméno obsahovat zástupné znaky * (hvězdička — nahrazení libovolného počtu znaků) a ? (otazník — nahrazení právě jednoho znaku). Pravidlo pak bude platit pro všechna jména vyhovující zadanému řetězci (počítače, domény atd.).

    Příklad:

    DNS jméno zadáme ve tvaru: *.?erio.c*. Pravidlo bude platit pro všechna jména v doménách kerio.cz, cerio.com, aerio.c apod., tedy např. www.kerio.cz, secure.kerio.com, www.aerio.c atd.

    Upozornění

    V pravidlech pro DNS dotazy na jména je nutné vždy uvést výraz, kterému bude odpovídat celé DNS jméno! Pokud bychom zadali např. kerio.c*, pak by tomuto pravidlu vyhověla pouze jména kerio.cz, kerio.com apod., nikoliv však jména počítačů v těchto doménách (např. www.kerio.cz nebo secure.kerio.com)!

  • Volba Reverzní DNS dotaz slouží ke specifikaci pravidla pro DNS dotazy na IP adresy v dané subsíti. Subsíť se zadává adresou sítě s příslušnou maskou (např. 192.168.1.0 / 255.255.255.0).

  • Do pole Pak předat dotaz těmto DNS serverům lze zadat IP adresu jednoho nebo více DNS serverů, na který mají být dotazy předávány.

    Je-li zadáno více DNS serverů, považují se za primární, sekundární atd.

    Volba Nepředávat znamená, že dotaz nebude předáván žádnému dalšímu DNS serveru — WinRoute bude pouze prohledávat lokální soubor hosts, příp. tabulky DHCP serveru (viz dále). Pokud zde dotazované jméno, resp. IP adresu nenalezne, odpoví klientovi, že toto jméno/adresa neexistuje.