Для корректной работы устройства необходимо, чтобы UserGate SWG мог разрешать доменные имена в IP-адреса. Укажите корректные IP-адреса серверов DNS в настройке Системные DNS-серверы.

Сервис DNS-прокси позволяет перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора. Сервис работает как в явном режиме, так и для перехвата транзитных запросов. Для явного режима необходимо разрешить доступ к сервису DNS на соответствующей зоне. Для перехвата транзитных запросов в этой зоне необходимо настроить следующие параметры в разделе DNS-прокси.

Параметр	Описание
Кэширование DNS	Включает или отключает кэширование ответов DNS. Рекомендуется оставить включенным для ускорения обслуживания клиентов
DNS-фильтрация	Включает или отключает фильтрацию DNS-запросов. При включении DNS-фильтрации SWG проверяет и перехватывает запросы, отправляя их дальше от своего IP-адреса. Если запрос соответствует запрещающему правилу контентной фильтрации, то он будет заблокирован. Для работы фильтрации необходимо приобрести лицензию на модуль ATP Важно! Функциональность DNS-фильтрации и мост L2 в текущей версии несовместимы — при включении DNS-фильтрации DNS-запросы через мост проходить перестают. Важно! Правила контентной фильтрации, использующие список IP-адресов во вкладке Назначение ➜ Адрес доставки, не обрабатываются модулем DNS-фильтрации. Обработка таких правил выполняется средствами модуля контентной фильтрации.
Рекурсивные DNS-запросы	Разрешает или запрещает серверу осуществлять рекурсивные DNS-запросы. Рекомендуется оставить эту опцию включенной
Максимальный TTL для DNS-записей	Устанавливает максимально возможное время жизни для записей DNS
Лимит количества DNS-запросов в секунду на пользователя	Устанавливает ограничение на количество DNS-запросов в секунду для каждого пользователя. Запросы, превышающие данный параметр, будут отброшены. Значение по умолчанию - 100 запросов в секунду. Не рекомендуется ставить большие значения для данного параметра, поскольку DNS-флуд (DNS DoS attacks) является довольно частой причиной отказа обслуживания DNS-серверов
Только A и AAAA DNS-записи для не идентифицированных пользователей (защита от VPN поверх DNS)	Если защита включена, то SWG отвечает только на запросы на записи A и AAAA от неизвестных пользователей. Это позволяет эффективно блокировать попытки организации VPN поверх протокола DNS

С помощью правил DNS-прокси можно указать серверы DNS, на которые пересылаются запросы на определенные домены. Данная опция может быть полезна в случае, если внутри компании используется локальный домен, не имеющий связи с интернетом и использующийся для внутренних нужд компании, например, домен Active Directory.

Чтобы создать правило DNS-прокси:

1. В блоке DNS-прокси нажмите Добавить, задайте Название и Описание (опционально).

2. Укажите список доменов, которые необходимо перенаправлять. Например, localdomain.local. Допускается использование символа ‘*’ для указания шаблона доменов.

3. Укажите список IP-адресов DNS-серверов, на которые необходимо пересылать запросы на указанные домены.

С помощью DNS-прокси можно задавать статические записи типа host (A-запись). Чтобы создать статическую запись:

1. В блоке Статические записи нажмите Добавить, задайте Название и Описание (опционально).

2. Укажите FQDN статической записи. Например, www.example.com.

3. Укажите список IP-адресов, которые UserGate SWG будет возвращать при запросе этого FQDN.