Master-зоны

Master-зоны позволят использовать NGFW как сервер имен внутри сетевой инфраструктуры для обращения к IP-адресам хостов в сети по доменным именам.

DNS-сервер в Ideco NGFW не доступен извне по соображениям безопасности. Для поддержки внешних DNS-зон, рекомендуем использовать сторонние DNS-хостинги.

Для корректной работы master-зон с IDN-доменами выполните действия:

1. Преобразуйте IDN-домены в формат Punnycode. Подробнее в RFC.

2. При создании содержимого master-зоны используйте преобразованное в формат Punnycode доменное имя.

IDN-домен - домен, составленный из национальных символов алфавита. Например, дневник.ру.

Не используйте master-зоны для блокировки доступа к сайтам, для этого есть другие средства. Блокировка таким способом работает неэффективно и не позволяет выборочно запрещать доступ по пользователям или подсетям. Также приводит к проблемам с излишним кешированием.

Формат записей для настройки master-зоны соответствует формату записей DNS-сервера BIND.

Описание параметров записи

$TTL - определяет время кеширования положительных ответов (ответ в виде найденного IP-адреса). Время задается в секундах или с помощью сокращений: m — минуты, h — часы, d — дни, w — недели;
$ORIGIN - определяет текущее имя домена. Текущее значение $ORIGIN заменяет символ @ в записи. Текущее значение $ORIGIN добавляется к любому имени, которое не заканчивается на "точку";
$SOA - описывает основные/начальные настройки зоны, или определяет зону ответственности данного сервера. Для каждой зоны должна существовать только одна запись SOA и она должна быть первая. В записи $SOA указывается primary NS для домена и e-mail контактного лица и далее в скобках:
1. Serial - Серийный номер файла зоны. При изменении данных нужно менять серийный номер, при этом зона обновляется на всех серверах. Используйте следующий формат: ГГГГММДДнн (год, месяц, день, нн — порядковый номер изменения за день). Если второй раз за день вносите изменения в файл зоны, укажите "нн" равным 01, если третий - 02, и т. д.;
2. Refresh - указывает, как часто вторичные серверы должны опрашивать первичный, чтобы узнать, не увеличился ли серийный номер зоны;
3. Retry - время ожидания после неудачной попытки опроса;
4. Expiry - максимальное время, в течение которого вторичный сервер может использовать информацию о полученной зоне;
5. TTL - минимальное время, в течение которого данные остаются в кэше вторичного сервера.
$SRV - указывают на сервера, обеспечивающие работу тех или иных служб в этом домене (например, Jabber и Active Directory);
$NS - DNS-сервер, обслуживающий этот домен. Минимально их необходимо два, причем они должны находится в разных подсетях, а лучше - в географически разных местах. Первым указывайте primary сервер;
$PTR - отображает IP-адрес в доменное имя;
$MX - описывает почтовые шлюзы (обычно один), на которые будет доставляться вся почта этого домена. Для каждого шлюза устанавливается приоритет (по умолчанию - 10). Обычно имя домена почтового шлюза выглядит так: mx.example.com. Для MX хостов должны быть соответствующие A-записи;
$A - отображают имя хоста (доменное имя) на адрес IPv4. Для каждого сетевого интерфейса машины должна быть сделана одна A-запись;
$AAAA - аналогична записи A, но для IPv6;
$CNAME - отображает алиас на реальное имя (для перенаправления на другое имя).

Со всеми ресурсными записями можно ознакомиться по ссылке.

Пример записи приведен на скриншоте ниже:

Несколько примеров записей в master-зону:

Имя зоны: ms

$ORIGIN ms. 
$TTL 600 
@ SOA ns1.ms. administrator.ms. ( 4 7200 3600 1209600 600 ) 
@ NS ns1.ms. 
@ MX 10 mx10.ms. 
@ A 192.168.0.250 
ns1 A 192.168.0.250 
mx10 A 192.168.0.250 
www CNAME @

Имя зоны: example.com

$TTL 86400
 @ SOA localhost. root.localhost. ( 991079290 28800 14400 3600000 86400 )
 @ NS my-dns-server.example.com.
my-dns-server A 1.2.3.4

PreviousВнешние DNS-серверы NextForward-зоны

Last updated 2 months ago