FortiGate 防火墙 DNS 地址转换实战:从配置到验证的全流程解析
1. 为什么需要DNS地址转换?
在企业网络环境中,经常会遇到这样的场景:内部客户端需要访问某个域名,但希望返回的解析结果指向特定IP地址。这就是DNS地址转换(DNS Translation)的典型应用场景。我最早接触这个功能是在帮客户部署内网应用时,他们要求员工访问的域名必须解析到内网服务器,而不是公网地址。
举个例子,假设公司内网有个OA系统,公网域名是oa.example.com,对应的公网IP是203.0.113.10。但内网部署了同样的系统,IP是192.168.1.100。通过DNS地址转换,可以让内网用户在访问oa.example.com时自动解析到192.168.1.100,而外网用户仍然解析到203.0.113.10。这样既保证了访问效率,又避免了内网流量绕行公网。
FortiGate防火墙的DNS地址转换功能就是在DNS响应包经过防火墙时,根据预先配置的规则修改DNS响应中的IP地址。这个功能特别适合以下场景:
- 内网用户访问内外网同源的业务系统
- 需要将特定域名强制解析到指定IP(比如测试环境)
- 实现流量的智能调度和负载均衡
2. 实验环境搭建
为了演示完整的配置流程,我搭建了一个模拟环境。这个环境包含三部分:
- 客户端PC1:IP地址40.14.104.233/24,通过DHCP获取配置
- FortiGate 60B防火墙:连接PC1的internal接口和上级防火墙的wan1接口
- FortiGate 80CM防火墙:作为上游设备,wan1接口(155.195.48.1)运行DNS服务
网络拓扑可以简单表示为:
PC1 (40.14.104.233) ↓ FortiGate 60B (internal:40.14.104.254, wan1:上级接口) ↓ FortiGate 80CM (DMZ:上级接口, wan1:155.195.48.1运行DNS服务)在80CM上,我们配置了thomsonreuters.com域名的解析记录:
- www.thomsonreuters.com → 65.63.72.1
- news.thomsonreuters.com → 65.63.72.2
实验目标是让PC1访问www.thomsonreuters.com时:
- DNS解析返回40.14.104.1(而不是真实的65.63.72.1)
- 实际通信仍然能到达65.63.72.1
3. 详细配置步骤
3.1 上游DNS服务器配置
首先在FortiGate 80CM上配置DNS服务。登录防火墙后执行:
config system dns-database edit "thomsonreuters-zone" set domain "thomsonreuters.com" set authoritative disable config dns-entry edit 1 set hostname "www" set ip 65.63.72.1 next edit 2 set hostname "news" set ip 65.63.72.2 next end next end然后在wan1接口启用DNS服务:
config system interface edit "wan1" set ip 155.195.48.1 255.255.255.0 set allowaccess ping https ssh http fgfm set secondary-IP enable config secondaryip edit 1 set ip 65.63.72.1 255.255.255.0 set allowaccess ping https ssh http telnet next end next end3.2 DHCP服务器配置
在FortiGate 60B的internal接口配置DHCP服务,确保PC1能获取正确的DNS服务器地址:
config system dhcp server edit 1 set default-gateway 40.14.104.254 set interface "internal" config ip-range edit 1 set end-ip 40.14.104.253 set start-ip 40.14.104.233 next end set netmask 255.255.255.0 set dns-server1 40.14.104.129 # 注意这是VIP地址 next end3.3 DNS地址转换核心配置
这是最关键的部分,在FortiGate 60B上配置DNS转换规则:
config firewall dnstranslation edit 1 set dst 40.14.104.0 set netmask 255.255.255.128 set src 65.63.72.0 next end这条规则的意思是:当DNS响应中包含65.63.72.x的地址时,将其转换为40.14.104.x。注意netmask参数决定了转换范围,这里/25表示只转换前128个地址。
3.4 VIP配置
为了让转换后的地址能正确路由,需要配置VIP(虚拟IP):
config firewall vip edit "VIP-65.63.72.0/24" set extip 40.14.104.1-40.14.104.127 set extintf "internal" set mappedip 65.63.72.1-65.63.72.127 next edit "VIP-155.195.48.0/28" set extip 40.14.104.128-40.14.104.143 set extintf "internal" set mappedip 155.195.48.0-155.195.48.15 next end第一个VIP将40.14.104.1-127映射到65.63.72.1-127,第二个VIP将40.14.104.128-143映射到155.195.48.0-15(DNS服务器所在网段)。
3.5 防火墙策略配置
最后放行相关流量:
config firewall policy edit 1 set srcintf "internal" set dstintf "wan1" set srcaddr "all" set dstaddr "VIP-65.63.72.0/24" "VIP-155.195.48.0/28" set action accept set schedule "always" set service "ANY" next end4. 验证与排错
配置完成后,在PC1上验证效果:
C:\> nslookup www.thomsonreuters.com 服务器: UnKnown 地址: 40.14.104.129 名称: www.thomsonreuters.com Address: 40.14.104.1 # 成功被转换 C:\> ping www.thomsonreuters.com 正在 Ping www.thomsonreuters.com [40.14.104.1] 具有 32 字节的数据: 来自 40.14.104.1 的回复: 字节=32 时间<1ms TTL=254如果遇到问题,可以使用这些诊断命令:
- 查看会话信息:
diagnose sys session list- 抓包分析DNS流量:
diag sniffer packet any 'host 40.14.104.233 and port 53' 4- 流量跟踪:
diag debug flow show console enable diag debug flow filter addr 40.14.104.233 diag debug enable diag debug flow trace start 505. 常见问题解决
在实际部署中,我遇到过几个典型问题:
问题1:DNS解析结果没有被转换
- 检查dnstranslation规则中的src和dst网段配置
- 确认DNS流量确实经过配置了转换规则的防火墙
- 测试时建议先使用nslookup而不是浏览器,避免缓存干扰
问题2:能解析但无法访问
- 检查VIP配置是否正确,特别是extintf是否指定了内部接口
- 确认防火墙策略放行了相关VIP的流量
- 使用diagnose sys session list查看会话是否建立
问题3:部分子域名转换失败
- 检查dns-database中的记录是否完整
- 确认dnstranslation的netmask覆盖了需要转换的所有地址
- 考虑是否有其他防火墙策略干扰了DNS流量
有个特别容易忽略的点:FortiGate的DNS转换是在DNS响应经过防火墙时进行的,所以必须确保DNS查询的往返路径都经过同一台防火墙。在复杂网络环境中,可能需要调整路由或设置策略路由来满足这个条件。