Подмена IP-адресов в DNS-ответах EcoNAT Documentation
По отдельной лицензии для системы EcoSGE доступна функция DNS Substitution, которая выполняет подмену IP-адресов в незашифрованных DNS-ответах на запросы ресурсных записей типа A (для IPv4) и AAAA (для IPv6). Параметры настройки данной функции содержатся в ветке конфигурации system.dns_substitution:
EcoSGE:system.dns_substitution# show
disable
acl none
aclv6 none
domains ( )
В таблице ниже дано описание параметров функции DNS Substitution.
| Параметр | Описание |
|---|---|
| enable | disable | Включение / выключение функции (по умолчанию disable) |
| acl | ACL для трафика IPv4, к которому необходимо применять функцию. По умолчанию none (не применять к трафику IPv4) |
| aclv6 | ACL для трафика IPv6, к которому необходимо применять функцию. По умолчанию none (не применять к трафику IPv6). Параметр доступен при наличии лицензии на работу с трафиком IPv6 |
| domains ( ) | Список пар "доменное_имя IP_адрес_для_подмены". Можно указывать как IPv4-, так и IPv6-адреса. При несоответствии типа запрошенной ресурсной записи (A или AAAA) и версии IP-адреса в ответе DNS-сервера подмена не производится. Максимальное количество пар – 8192 |
При задании списка domains ( ) одной строкой количество пар "доменное_имя IP_адрес_для_подмены" ограничено максимальной длиной строки CLI (1000 символов). Поэтому для большого количества таких пар следует указывать их по одной в отдельных строках или использовать оператор +=. Пример параметра domains ( ), содержащего три пары:
domains (
"host1.domain1 198.51.100.1"
"host2.domain2 198.51.100.2"
"host3.domain3 198.51.100.3"
)
Для удаления пары "доменное_имя IP_адрес" из списка domains ( ) необходимо использовать оператор -=.
Подсчёт количества пакетов с подменёнными IPv4- и IPv6-адресами ведётся счетчиками cr_dns_spoof_ipv4 и cr_dns_spoof_ipv6.