Dnsmasq DNS

Dnsmasq – легковесный и быстроконфигурируемый проксирующий DNS-, DHCP- и TFTP-сервер, предназначенный для работы в небольших сетях.

В режиме DNS-сервера Dnsmasq обеспечивает доменными именами локальные хосты, не имеющие глобальных DNS-записей. DHCP-сервер интегрирован с DNS-сервером и назначает хостам с IP-адресом доменное имя, сконфигурированное ранее в конфигурационном файле, поддерживает привязку IP-адреса к хосту или автоматическую настройку IP-адресов из заданного диапазона и BOOTP для сетевой загрузки бездисковых машин.

В качестве примера настройки Dnsmasq будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Схема стенда настройки Dnsmasq). На ПК «Client» установлена ОС Windows.

../../../_images/fw.rp.26.1.png

Рисунок – Схема стенда настройки Dnsmasq

Настройка Dnsmasq DNS

Для настройки Dnsmasq DNS необходимо выполнить следующие действия:

  1. Перейти в подраздел настроек кэширующего DNS-сервера («Службы» - «Кэширующий DNS-сервер» - «Общие настройки») и убрать флажок для параметра «Включить».

  2. Перейти в подраздел настроек Dnsmasq DNS («Службы» - «Dnsmasq DNS» - «Настройки») (см. Рисунок – Включение Dnsmasq), установить флажок для параметра «Включить» и нажать кнопку «Сохранить».

../../../_images/fw.rp.26.1.1.png

Рисунок – Включение Dnsmasq

Примечание

При использовании динамических интерфейсов не рекомендуется привязываться к адресам из этих интерфейсов.

Дополнительные настройки Dnsmasq DNS

Параметр «DNSSEC» рекомендуется включать в целях минимизирования атак, связанных с подменой DNS-адреса при разрешении доменных имён.

Вариант «Перенаправление запросов DNS» параметра «Переадресация DNS-запросов» рекомендуется включать для опроса DNS-серверов по порядку, указанному в блоке настроек DNS-сервера («Система» - «Настройки» - «Общие настройки»), вместо параллельного запроса всем указанным DNS-серверам.

Для создания отдельных записей определения хоста или домена необходимо нажать кнопку «bttn.plus2» в соответствующем блоке (см. Рисунок – Переопределение хоста или домена), задать значения в открывшейся форме и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

../../../_images/fw.rp.26.1.1.1.png

Рисунок – Переопределение хоста или домена

Фильтрация динамических поддоменов с помощью Dnsmasq

Dnsmasq предоставляет возможность ограничить доступ к определённым динамическим поддоменам.

В качестве примера рассмотрим блокировку доступа к домену «google.com» и к его динамическим поддоменам. Для этого необходимо выполнить следующие действия:

  1. Создать псевдоним с именем «google» и типом «Внешний (расширенный)» (см. Создание псевдонимов).

  2. Отключить «Кеширующий DNS сервер».

  3. Перейти в настройки «Dnsmasq DNS».

  4. Нажать кнопку «Показать дополнительные параметры» в пункте «Дополнительно» и ввести в открывшееся поле параметры фильтрации: ipset=/google.com/google (см. Рисунок – Настройка блокировки поддоменов).

../../../_images/fw.rp.26.1.2.1.png

Рисунок – Настройка блокировки поддоменов

  1. Установить флажок для параметра «Включить» и нажать кнопку «Сохранить».

  2. Создать на основе псевдонима «google» блокирующее правило МЭ (см. Создание правил межсетевого экранирования).

  3. На клиентских компьютерах установить IFW в качестве основного DNS-сервера.

Если при создании блокирующего правила не был задан параметр «Сбрасывать установленные состояния», то все соединения, установленные до применения правила, продолжат работать.

Проверка работы Dnsmasq DNS

Для проверки работы Dnsmasq DNS необходимо выполнить следующие действия:

  1. На ПК «Client» указать для используемого сетевого подключения IP-адрес ARMA FW в качестве предпочитаемого DNS-сервера (см. Рисунок – Настройка параметров сети).

../../../_images/fw.rp.26.2.1.png

Рисунок – Настройка параметров сети

  1. На ПК «Client» открыть веб-браузер и перейти на сайт «ya.ru». Работоспособность Dnsmasq DNS проверяется успешным подключением к сайту.