Настройка DNS

ID статьи: 387
Последнее обновление: 29 июн, 2026
Documentation:
Product: NGFW
Version: 6.1.9, 7.0.1

В разделе Настройки ➜ Сеть ➜ DNS вы можете управлять списком системных DNS-серверов UserGate NGFW, а также настроить его работу в качестве DNS-прокси для других сетевых устройств.

Настройка системных DNS-серверов

Системные DNS-серверы необходимы для разрешения доменных имен в IP-адреса. В блоке параметров Системные DNS-серверы вы можете добавлять, редактировать или удалять DNS-серверы, которые использует UserGate NGFW.

Настройка сервиса DNS-прокси

Сервис DNS-прокси предназначен для обработки DNS-запросов пользователей и позволяет изменять их в соответствии с заданными правилами. Сервис поддерживает два режима работы:

  • явный режим — клиенты отправляют DNS-запросы непосредственно на DNS-прокси;

  • режим перехвата — DNS-прокси автоматически перехватывает транзитные DNS-запросы.

Важно!Для корректной работы DNS-прокси необходимо разрешить доступ к сервису «DNS» в параметрах контроля доступа соответствующей зоны.

Для использования сервиса DNS-прокси в режиме перехвата:

В разделе Настройки ➜ Сеть ➜ DNS в блоке Настройка DNS-прокси укажите значения следующих параметров.

Параметр

Описание

DNS-фильтрация

Включение или отключение фильтрации DNS-запросов. При включении функции UserGate NGFW перехватывает DNS-запросы пользователей и отправляет их от своего имени. Если запрашиваемый домен попадает под действие запрещающего правила контентной фильтрации, запрос блокируется. Для использования DNS-фильтрации требуется лицензия на модуль ATP.

Важно!Функциональность DNS-фильтрации и мост L2 в текущей версии несовместимы — при включении DNS-фильтрации DNS-запросы через мост проходить перестают.
Важно!Правила контентной фильтрации, использующие список IP-адресов на вкладке «Назначение» ➜ «Адрес доставки», не обрабатываются модулем DNS-фильтрации. Обработка таких правил выполняется средствами модуля контентной фильтрации.

Кэширование DNS

Включение или отключение кэширования ответов DNS. Функция позволяет сохранять полученные DNS-ответы и использовать их при повторных запросах. Рекомендуется оставить функцию включенной, так как это уменьшает время обработки запросов и повышает скорость доступа пользователей к ресурсам

Лимит DNS-запросов в секунду на пользователя

Максимальное количество DNS-запросов, которое один пользователь может отправить за секунду. Запросы, превышающие установленный лимит, отбрасываются. Значение по умолчанию — 100 запросов в секунду. Не рекомендуется существенно увеличивать значение параметра, поскольку это может снизить эффективность защиты от DNS-флуда и других атак, направленных на отказ в обслуживании DNS-сервиса

Максимальное время жизни для DNS-записей (сек)

Максимальный период, в течение которого DNS-записи могут храниться в кэш-памяти DNS-прокси. По истечении этого времени запись считается устаревшей и должна быть обновлена посредством нового DNS-запроса

Рекурсивные DNS-запросы

Включение или отключение возможности выполнения рекурсивных DNS-запросов. Если опция включена, DNS-прокси самостоятельно запрашивает DNS-серверы для полного разрешения доменного имени. Рекомендуется оставить функцию включенной для обеспечения корректной обработки DNS-запросов

Тайм-аут (мсек)

Максимальное время ожидания ответа от DNS-сервера на один запрос. Если ответ не поступил до истечения указанного времени, запрос считается неудачным

Только A и AAAA DNS-записи для неизвестных пользователей (защита от VPN поверх DNS)

При включении параметра для пользователей, не прошедших аутентификацию, разрешаются только DNS-запросы типов A и AAAA. Запросы остальных типов отклоняются. Этот параметр позволяет ограничивать возможности DNS-туннелирования для предотвращения создания каналов передачи данных через DNS-протокол

Число попыток

Максимальное количество повторных запросов, которые DNS-прокси может выполнить при отсутствии ответа от DNS-сервера. Если ответ не будет получен после указанного числа попыток, запрос завершится ошибкой

С помощью правил DNS-прокси можно настроить обработку запросов для отдельных доменов на определенных DNS-серверах. Такой механизм удобно использовать для разрешения внутренних доменных имен компании, например доменов Active Directory, которые не публикуются в интернете и доступны только во внутренней сети.

Для создания правила DNS-прокси:

1. В разделе Настройки ➜ Сеть ➜ DNS в блоке DNS-прокси ➜ Правила DNS нажмите Добавить.

2. Укажите необходимые параметры:

  • На вкладке Общие укажите название, описание правила и его место в списке правил DNS.

  • На вкладке Домены укажите список доменов. Допускается использование символа «*» для указания шаблона доменов.

  • На вкладке Серверы DNS укажите IP-адреса DNS-серверов, на которые необходимо пересылать запросы для указанных доменов.

Вы также можете вручную задавать статические записи типа host (A-записи), которые будут использоваться сервисом DNS-прокси для фиксированного сопоставления доменных имен и IP-адресов.

Для создания статической записи:

1. В разделе Настройки ➜ Сеть ➜ DNS в блоке DNS-прокси ➜ Статические записи нажмите Добавить.

2. Укажите необходимые параметры:

  • название и описание правила;

  • доменное имя (FQDN) статической записи (например, www.example.com);

  • список IP-адресов, которые UserGate NGFW будет возвращать при запросе указанного доменного имени.

Эта статья была:   Полезна | Не полезна
ID статьи: 387
Последнее обновление: 29 июн, 2026
Ревизия: 14
Просмотры: 19670
Комментарии: 0
Теги

Также опубликовано в