Domain-Name-System
避免 Fortigate Web 代理的腦裂 DNS
如何避免需要使用下面概述的設置進行腦裂 DNS 設置?
背景
我有什麼“應該”是使用 Fortigate 200D 的非常基本的設置。
- 使用 DMZ 的“第三條腿”設置
- 為內部使用者明確定義的 Web 代理
- 預設網關可以設置為此設備。
- 我們面向公眾的網站的外部 DNS。
每次我查找或詢問此設置時,我都會得到指向此文件的提示,這本質上意味著裂腦 DNS通過不同的 IP 地址訪問內部資源。我正在努力避免回到那條路*。*
我收到以下響應,這讓我認為流量路由不正確。
403 Forbidden: incorrect proxy service was requested
到目前為止,日誌還沒有顯示任何洞察力。我還嘗試了數據包擷取(在共享 Web 伺服器和 Fortigate 上)。它們都表明數據包在 Fortigate 內正在消亡。
如果您想避免腦裂 DNS,則外部使用者將轉到 www.timistheman.com 指向 VIP/NAT 關閉的外部 IP,內部使用者將轉到指向路由的內部 IP 的 www.mdmarra.local從 LAN 進入 DMZ。
如果您希望內部和外部使用者解析到相同的 FQDN,那麼要麼將 DNS 拆分到不同的 IP,要麼將內部使用者路由進出(棒上的路由器)。