Ideco NGFW
Скачать PDF
v17
v17
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования
      • Выбор аппаратной платформы
      • Виртуальная платформа
      • Производительность платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Подготовка платформы к установке
      • Настройка гипервизора
      • Настройка программно-аппаратных комплексов Ideco NGFW
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Личный кабинет пользователя
      • VPN-подключение
        • Двухфакторная аутентификация
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
      • Профили устройств
      • Интеграция с Active Directory/Samba DC
        • Ввод сервера в домен
        • Аутентификация пользователей AD/Samba DC
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • Интеграция с RADIUS-сервером
      • ALD Pro
      • Обнаружение устройств
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий Контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik по IPsec в туннельном режиме
        • Подключение Ideco NGFW и Mikrotik по IPsec в транспортном режиме
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Трафик
      • Журнал событий
      • Журнал веб-доступа
      • Журнал антивируса
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Центральная консоль
      • VCE
      • Кластеризация
        • Настройка кластера
      • Обновления
      • Бекапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Cоздание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подключение к сертифицированным Ideco EX и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать, если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Источники данных
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать, если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление пользователями
    • Управление Ideco Client
    • Управление правилами трафика
    • Управление сетевыми интерфейсами
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Центральная консоль
    • Бекапы
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 17.x
    • ФСТЭК Ideco UTM 17.Х
    • Ideco Center 17.Х
Powered by GitBook
On this page
  • Формат записей
  • Работа с IDN-доменами
  • Обратная Master-зона

Was this helpful?

  1. Настройка Ideco NGFW
  2. Сервисы
  3. DNS

Master-зоны

Настройка Master-зон в Ideco NGFW: работа с DNS-записями, IDN-доменами и reverse DNS.

PreviousВнешние DNS-серверыNextForward-зоны

Last updated 8 days ago

Was this helpful?

Master-зоны позволяют использовать Ideco NGFW как сервер имен и переводить IP-адреса в доменные имена внутри сети.

DNS-сервер в Ideco NGFW недоступен извне в целях безопасности. Для поддержки внешних DNS-зон рекомендуем использовать сторонние DNS-хостинги.

Формат записей

Формат записей для настройки Master-зоны соответствует формату записей DNS-сервера BIND.

Описание параметров записи

  • TTL - определяет время кеширования положительных ответов (например, найденного IP-адреса). Задается в секундах или с помощью сокращений: m (минуты), h (часы), d (дни), w (недели).

  • ORIGIN - определяет текущее доменное имя. Значение ORIGIN заменяет символ @ в записях, а также автоматически добавляется к любому имени, не заканчивающемуся точкой (.).

  • SOA - описывает начальные параметры зоны и определяет зону ответственности сервера. Для каждой зоны допустима только одна запись SOA. Включает primary NS-сервер домена и email администратора (с заменой @ на ., например: admin.example.com). Включает:

    • Serial - серийный номер зоны. Должен увеличиваться при любых изменениях, чтобы вторичные серверы обновили данные. Рекомендуемый формат: YYYYMMDDnn (год, месяц, день + двузначный номер изменения, начиная с 00). Например, первое изменение 15 мая 2025 года будет 2025051500, следующее в тот же день - 2025051501.

    • Refresh - как часто вторичные серверы должны проверять первичный на наличие обновлений.

    • Retry - интервал между повторными попытками при неудачном обновлении.

    • Expiry - срок, после которого вторичный сервер прекратит использовать данные зоны, если не сможет обновиться.

    • TTL - минимальное время кеширования для вторичных серверов.

  • SRV - указывает серверы, ответственные за определенные службы в домене (например, Jabber, Active Directory, SIP). Формат: _служба._протокол.домен.

  • NS - указывает авторитетные DNS-серверы для домена. Для каждой NS-записи обязательно должны существовать сопоставимые A или AAAA-записи.

  • PTR - преобразует IP-адрес в доменное имя (reverse DNS). Используется, например, для проверки почтовых серверов.

  • MX - указывает почтовые серверы для домена. Формат: Приоритет Сервер (например, 10 mx.example.com). Для каждого MX обязательна A или AAAA-запись.

  • A - сопоставляет доменное имя с IPv4-адресом (например, 192.0.2.1). Для каждого интерфейса требуется отдельная запись.

  • AAAA - аналогична A, но для IPv6 (например, 2001:db8::1).

  • CNAME - задает алиас (псевдоним) для другого доменного имени. Для алиаса не должно быть других записей (например, MX или TXT).

Со всеми ресурсными записями можно ознакомиться по .

Пример записей:

Примеры записей в мастер-зону:

1. Имя зоны: ms

$ORIGIN ms. 
$TTL 600 
@ SOA ns1.ms. administrator.ms. ( 4 7200 3600 1209600 600 ) 
@ NS ns1.ms. 
@ MX 10 mx10.ms. 
@ A 192.168.0.250 
ns1 A 192.168.0.250 
mx10 A 192.168.0.250 
www CNAME @

2. Имя зоны: example.com

$TTL 86400
@ SOA localhost. root.localhost. ( 2024120713 28800 14400 3600000 86400 )
@ NS my-dns-server.example.com.
my-dns-server A 1.2.3.4

Работа с IDN-доменами

IDN-домен - домен, составленный из национальных символов алфавита. Например, дневник.ру. Для корректной работы Master-зон с IDN-доменами выполните действия:

2. При создании содержимого Master-зоны используйте преобразованное в формат Punycode доменное имя.

Обратная Master-зона

Обратная Master-зона используется для распознавания домена по IP-адресу.

Статические Master-зоны требуют ручного создания PTR-записей, динамические - генерируют их автоматически. Пример обратной Master-зоны:

Имя зоны: 168.192.in-addr.arpa

Доменная зона соответствует IP-адресу 192.168.0.0/16. В содержимом зоны указаны три PTR-записи:

$TTL 1h  ; 3600 seconds
$ORIGIN 168.192.in-addr.arpa.
@               IN      SOA ns1.example.com. hostmaster.example.com. (
                            2024120701 ; serial number
                            3h         ; refresh
                            15m        ; retry
                            3w         ; expire
                            1h         ; minimum TTL
                            )
                IN      NS  ns1.example.com.
5.110           IN      PTR example2.test.
7.110           IN      PTR example3.test.
9.110           IN      PTR example4.test.

1. Преобразуйте IDN-домены в формат Punycode. Подробнее в .

Не используйте Master-зоны для блокировки доступа к сайтам, для этого есть другие . Блокировка таким способом работает неэффективно и не позволяет выборочно запрещать доступ по пользователям или подсетям. Также приводит к проблемам с излишним кешированием.

RFC
средства
ссылке