Что это такое?

Это DNS-прокси.

Зачем это нужно?

Служба DNS-прокси позволяет устройству NSG выполнять функции сервера DNS по отношению к хостам локальной сети. Клиенты направляют свои запросы DNS ему, а оно переадресует эти запросы некоторым реальным серверам DNS. Ответы серверов ретранслируются клиентам.

Основной практический смысл данной службы состоит в том, что адреса серверов DNS могут быть заранее не известны, например, назначаться поставщиком услуг по PPP или DHCP каждый раз при установлении сеанса. Более того, на практике они могут время от времени изменяться по усмотрению оператора, поскольку его сеть со временем изменяется и модернизируется. В этом случае для клиентов локальной сети удобно назначить выходной маршрутизатор (устройство NSG) одновременно и сервером DNS, а оно уже будет автоматически получать адреса реальных серверов.

Как это настроить?

Служба DNS представляет собой совокупность ретрансляторов (прокси), каждый из которых работает на своём IP-интерфейсе. Для добавления DNS-прокси в список используйте команды +, _new или _insert. Именем элемента списка является имя IP-интерфейса или физического порта, на котором должен исполняться данная DNS-прокси (напр. eth0, eth0.101, br1 и т.п.); если они не совпадают, система разрешает одно в другое автоматически. Для удаления используйте команду - или _remove.

Адреса реальных серверов DNS, к которым будут обращаться все прокси, могут быть заданы статически параметрами dns1 и dns2, но это не является обязательным. Если эти параметры не заданы, то прокси обращаются к серверам, которые в данный момент известны локальному клиенту DNS — в том числе, к серверам, полученным динамически по PPP или DHCP.

Подробнее о параметрах каждого сервера DHCP см. справку по вложенным узлам.

Реализация сервера DHCP и DNS-прокси в NSG Linux 2.1 построена на основе проекта dnsmasq. Подробную документацию о данном проекте см. в первоисточнике на сайте проекта и в man page по нему. Параметры, не указанные в дереве конфигурации явным образом, могут быть добавлены через параметр extra.

ПРИМЕЧАНИЕ. Не следует путать DNS-прокси и клиента DNS. Клиент служит для обращения данного устройства к вышестоящим серверам DNS. Прокси обслуживает хосты в локальной сети, выступая для них в качестве сервера.

Что делать, если это не работает?

1. Убедиться, что фактический сервер DNS, к которому должна обращаться прокси, действительно работает и доступен по сети.
2. Убедиться, что порт UDP 53 не закрыт фильтрами (в обоих направлениях и на обоих интерфейсах — в сторону конечного клиента и в сторону фактического сервера), не перехватывается NAT-ом и не занят другими службами и приложениями.

Пример совместной конфигурации сеансового доступа, DCHP-сервера и DNS-прокси.

Устройство NSG используется для подключения малого офиса к Интернет через оператора сети LTE. Внутри офиса создаётся локальная сеть, в данном случае — беспроводная. Для пользовательских ПК, расположенных в этой сети, устройство NSG является одновременно сервером DHCP, шлюзом по умолчанию и сервером DNS. Само устройство в ходе подключения к вышестоящему оператору является клиентом DHCP на сотовом интерфейсе и получает от оператора адреса вышестоящего шлюза и реальных серверов DNS.

Курсивом показаны существенные настройки, установленные по умолчанию.

port
: m1
: : type = "lte"
: : adm-state = "up"
: : ifAddress
: : : configurable = "dhcp"
: wlan0 
: : mode = "access-point" 
: : adm-state = "up" 
: : ssid = "myassholeofficewlan" 
: : security 
: : : wpa 
: : : : passphrase = "qwertyuiop" 
: : : : wpa2 = true 
: : ifAddress 
: : : prefix = "172.16.0.1/16" 
services 
: dhcp 
: : wlan0
: : : adm-state	= "up" 
: : : dns1 = "172.16.0.1" 
: : : gateway = "172.16.0.1" 
: : : ip-address-pool
: : : : from = "172.16.0.2"
: : : : to = "172.16.255.255"
: : : mask = "255.255.0.0"
: dns 
: : wlan0
: : : adm-state	= "up"