Назад | Перейти на главную страницу

Как избежать раздельного DNS для веб-прокси Fortigate

Как мне избежать необходимости в настройке DNS с разделенным мозгом при настройке, описанной ниже?

Задний план

У меня есть то, что "должно" быть довольно простой установкой с использованием Fortigate 200D.

  1. Настройка третьего отрезка с использованием DMZ
  2. Явно определенный веб-прокси для внутренних пользователей
  3. Шлюз по умолчанию может быть настроенным на это устройство.
  4. Внешний DNS для наших общедоступных веб-сайтов.

Каждый раз, когда я ищу или спрашиваю об этой установке, я обращаю внимание на этот документация, которая по своей сути подразумевает разделенный мозг DNS через разные IP-адреса для доступа из внутренних ресурсов. я стараюсь действительно трудно избежать возврата по этому маршруту.

Я получаю следующий ответ, который заставляет меня думать, что трафик маршрутизируется неправильно.

403 Forbidden: incorrect proxy service was requested

Журналы пока не показали никакой информации. Я также пробовал захват пакетов (как на общем веб-сервере, так и на Fortigate). Оба они указывают на то, что пакеты умирают внутри Fortigate.

Если вы хотите избежать раздельного DNS, тогда внешние пользователи будут переходить на www.timistheman.com, указывая на внешний IP-адрес, который отключен VIP / NAT, а внутренние - на www.mdmarra.local, указывая на внутренний IP-адрес, который маршрутизируется в демилитаризованную зону из локальной сети.

Если вы хотите, чтобы внутренние и внешние пользователи разрешали одно и то же полное доменное имя, либо разделите DNS на разные IP-адреса, либо направьте внутренних пользователей туда и обратно (маршрутизатор на флешке).