На межсетевых экранах серии DFL-260E/860E/870/1660/2560 DNS релей настраивается при помощи IP политик. Для этого необходимо создать такую политику, которая перехватит DNS трафик наплавляемый на само устройство и отправит его на указанный DNS сервер.

Настройка DNS-Relay выполняется в 2 шага. Шаг 1, создание объекта IP с адресом DNS сервера. Шаг 2, создание самой политике релей.

Шаг 1. Создание объекта IP с IP адресом DNS сервера.

Создание объекта с IP адресом через веб интерфейс:

Зайдите на веб интерфейс, Objects → address book, нажмите кнопку add, из выпадающего меню выберите IP Addresses (рис 1.)

Рисунок 1.

В поле Name укажите имя объекта (в примере my_dns), а в поле Addresses укажите IP адрес хоста (в примере 8.8.8.8), куда необходимо перенаправить DNS запрос, затем нажмите кнопку ОК. Пример выполнения этих действий вы можете увидеть на рисунке 2.

Рисунок 2.

Создание объекта с IP адресом через CLI:

Для создания объекта с IP адресом DNS сервера через CLI выполните следующую команду:

add Address IP4Address my_dns Address=8.8.8.8

Шаг 2. Создания IP политики для перенаправления DNS запросов.

Создание IP Политики через веб интерфейс:

Пройдите в веб интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку add, из выпадающего меню выберите IP Policy. (Рис. 3)

Рисунок 3.

В поле Name укажите название политики (в примере dns_relay). Раздел Filter заполните следующим образом:
Service: dns-all
Интерфейс и сеть источника: lan1 и lan1_net
Интерфейс и сеть назначения: core и lan1_ip

В разделе Source Translation из выпадающего меню Address Translation выберите NAT.

В разделе Destination Translation выполните следующие настройки:
Address translation: укажите SAT
Address action: Укажите Single IP
New IP address: Выберите объект с DNS сервером на который отправлять запросы (в примере my_dns)

Нажмите кнопку ОК.

Пример заполненной формы вы можете увидеть на рисунке 4.

Рисунок 4.

Создание IP политики через CLI

Для создание IP политики с выше описанными свойствами выполните команду:

add IPPolicy Name=dns_relay Service=dns-all SourceInterface=lan1 DestinationInterface=core SourceNetwork=InterfaceAddresses/lan1_net DestinationNetwork=InterfaceAddresses/lan1_ip SourceAddressTranslation=NAT DestAddressTranslation=SAT DestAddressAction=SingleIP DestNewIP=my_dns

Для того, чтобы выполненные настройки вступили в силу, необходимо выполнить их активацию. Для этого в веб интерфейсе выберите Configuration → Save and Activate