如何配置SonicWALL DNS代理

SonicWALL DNS Proxy配置指南

配置手册

版本1.0

2017年12月18日 by Dantalian

Question/Topic

如何配置SonicWALL防火墙上的DNS代理

Answer/Article

本文适用于：

涉及到的 Sonicwall 防火墙（Gen6以上的设备）

Gen6 NSA 系列：NSA 2600、NSA 3600、NSA 4600、NSA 5600、NSA 6600

Gen6 TZ系列：TZ 300、TZ 400、TZ 500

Gen6.5系列：NSA 2650

固件/软件版本: SonicOS 6.5或者以上版本

服务: DNS Proxy

功能与应用：

配置DNS代理，以防火墙的接口IP作为DNS服务器，主要为了解决走不同线路DNS不一样的问题以及某些特定域名必须使用某个指定DNS才能解析正常的问题。

一、配置防火墙接口

要配置DNS代理，首先要在内网接口上允许DNS代理。首先，选择MANGE菜单，进入network-interface菜单，编辑对应的lan口

例如X0，在advanced页面下勾选Enable DNS Proxy

二、开启DNS代理

进入network→DNS proxy菜单下面，勾选Enable DNS Proxy，点击accept应用配置。

默认情况下，防火墙会使用自身的DNS进行DNS代理，防火墙自身的DNS在network→DNS菜单下面。

可以选择Specify IPv4 DNS Servers Manually手动指定防火墙DNS，也可以使用Inherit
IPv4 DNS Settings Dynamically from WAN Zone
让防火墙自动从WAN口获取DNS，默认配置是防火墙自动从WAN口配置DNS。

三、配置静态DNS

对于一些需要指定进行解析的域名，我们可以通过配置静态DNS进行解析，如图，在network→DNS
proxy菜单下面，Static DNS Proxy Cache
Entries项目中，点击add直接添加解析条目即可。

例如，将oa.com解析为192.168.1.111，配置如图所示。防火墙同时还支持IPv6的解析，最多解析为2个IPv4和2个IPv6的地址。

在电脑上使用nslookup命令进行测试，测试结果如图：

本例中防火墙接口IP为1.1.1.1，使用1.1.1.1去解析oa.com，可以解析为我们设置的192.168.1.11，正是我们设置的静态解析。

四、配置分离解析（Split DNS）

分离解析主要用某个域名必须使用某个DNS才能解析正常这样的情况，例如外网可能有个oa.com，但是实际上我们希望用内网的DNS服务器去解析oa.com到我们的内网服务器上去，这个时候就可以使用分离解析。

分离解析位于network→DNS菜单下，需要先开启DNS代理才能生效。

同样的，勾选Enable proxying of split DNS servers，点击accept，开启DNS分离解析。

随后，点击add添加分离解析项目：

Domain Name 域名

Primary Server 首选DNS服务器IP

Secondary Server 次选DNS服务器IP

Tertiary Server 第三DNS服务器IP

Local Interface 接口

最多可以配置3个DNS服务器进行解析，支持IPv6，接口即防火墙到DNS服务器的出口，例如，DNS服务器是内网IP，则接口应该选择X0口（内网口）；如果DNS服务器是在外网，则接口应该选择X1口（外网口）编辑完成之后点击OK即可增加新条目。

添加本条目之后，对应的域名就会去使用指定的DNS去解析了。

所有配置完成之后，将电脑的DNS配置为防火墙的接口IP即可使用防火墙作DNS代理进行域名解析。也可以将防火墙接口IP配置在DHCP服务中作为DNS直接分发，这里就不在赘述。