Domain-Name-System

避免 Fortigate Web 代理的腦裂 DNS

  • September 3, 2014

如何避免需要使用下面概述的設置進行腦裂 DNS 設置?

背景

我有什麼“應該”是使用 Fortigate 200D 的非常基本的設置。

  1. 使用 DMZ 的“第三條腿”設置
  2. 為內部使用者明確定義的 Web 代理
  3. 預設網關可以設置為此設備。
  4. 我們面向公眾的網站的外部 DNS。

每次我查找或詢問此設置時,我都會得到指向文件的提示,這本質上意味著裂腦 DNS通過不同的 IP 地址訪問內部資源。我正在努力避免回到那條路*。*

我收到以下響應,這讓我認為流量路由不正確。

403 Forbidden: incorrect proxy service was requested

到目前為止,日誌還沒有顯示任何洞察力。我還嘗試了數據包擷取(在共享 Web 伺服器和 Fortigate 上)。它們都表明數據包在 Fortigate 內正在消亡。

如果您想避免腦裂 DNS,則外部使用者將轉到 www.timistheman.com 指向 VIP/NAT 關閉的外部 IP,內部使用者將轉到指向路由的內部 IP 的 www.mdmarra.local從 LAN 進入 DMZ。

如果您希望內部和外部使用者解析到相同的 FQDN,那麼要麼將 DNS 拆分到不同的 IP,要麼將內部使用者路由進出(棒上的路由器)。

引用自:https://serverfault.com/questions/626069