飞塔防火墙的dns功能的劫持功能

飞塔防火墙的dns功能的劫持功能

飞塔（FortiGate）防火墙的 DNS 劫持，核心靠两种能力：透明 DNS 转发器（TCFD） 和 DNS Translation（DNS 地址转换），前者拦截请求、后者改写响应，常配合 DNS 过滤实现管控。

一、核心原理与两种方式

1. 透明条件 DNS 转发器（TCFD，7.4.0+）

作用：拦截内网 DNS 请求（即使客户端公网 DNS），按域名转发到指定 DNS，或直接返回内网 IP。

流程：

客户端发 DNS 请求（如 8.8.8.8）。

FortiGate 拦截，匹配域名规则。

转发到内网 DNS / 本地 DNS 库，或直接应答。

客户端拿到内网 IP，直接访问内网服务器。

典型场景：强制内网域名走内网 DNS，避免公网绕行。

2. DNS Translation（DNS 改写）

作用：不改 DNS 请求，只改写 DNS 响应中的 IP（公网 IP→内网 IP）。

流程：

客户端请求公网域名（如oa.example.com）。

公网 DNS 返回公网 IP（203.0.113.10）。

FortiGate 拦截响应，替换为内网 IP（192.168.1.100）。

客户端用内网 IP 直连，无需 hairpin NAT。

典型场景：内外网同域名业务，内网用户解析到内网 IP。

二、关键配置（CLI 示例）

1. 透明 DNS 转发器（TCFD）

# 1. 开启DNS数据库 config system setting    set dns-db enable end # 2. 新建DNS区域（劫持fortinet.com.cn） config system dns-database    edit "fortinet.com.cn"        set domain "fortinet.com.cn"        set authoritative disable  # 非权威，仅转发        set forwarder "10.10.2.200"  # 内网DNS    next end # 3. 内网接口启用透明DNS转发 config system interface    edit "internal"        set transparent-dns-forwarder enable    next end

2. DNS Translation（响应改写）

# 1. 配置DNS翻译规则（公网IP→内网IP） config firewall dnstranslation    edit 1        set src 203.0.113.10  # 公网IP        set dst 192.168.1.100  # 内网IP    next end # 2. 绑定到DNS过滤策略（应用到流量） config security dnsfilter    edit "dns-hijack-profile"        set dnstranslation enable    next end # 3. 防火墙策略调用DNS过滤 config firewall policy    edit 1        set srcintf "internal"        set dstintf "wan1"        set srcaddr "all"        set dstaddr "all"        set action accept        set security-profile "dns-hijack-profile"    next end

三、应用场景对比

四、与 DNS 过滤的关系

DNS Filter：基础管控（允许 / 阻断 / 监控），可拦截恶意域名。

TCFD：DNS Filter 的增强，实现请求劫持与转发。

DNS Translation：DNS Filter 的子功能，实现响应 IP 改写。

五、注意事项

TCFD 仅 2GB 以上内存设备支持。

DNS Translation 需配合 VIP / 路由，确保内网 IP 可达。

加密 DNS（DoH/DoT）需开启 SSL inspection才能拦截。