원문출처 : https://ebt-forti.tistory.com/646
FortiGate각 FQDN 객체에 대해 IP를 얻는 방법은 2가지이다.
FortiGate에 설정된 DNS에 직접 Query를 하여 IP를 확인하거나, FortiGate를 통과하는 DNS query에서 IP를 얻기도 한다.
예를들어 아래의 Topology에서 FortiGate는 외부의 공용 DNS Server가 설정되어 있으며, 내부 사용자들은 FortiGate를 통과하는 Local DNS 서버가 설정되어 있다.
FortiGate에 "www.example.com" 에 대해 FQDN Object를 설정할 경우, FortiGate는 자신에게 설정된 DNS Server에 Query를 보내 IP를 확인한다.
내부 사용자가 Local DNS Server에 DNS query를 하는 트래픽에서 FortiGate는 "www.example.com" 에 대한 IP를 추가적으로 얻는다.
만약 사용자의 Query에 의한 IP 확인을 해지하려면 아래의 2가지 방법이 있다.
첫번째는 Session-helper 에서 DNS 항목을 삭제하는 것이고, 다른 방법은 아래의 명령어를 이용하는 것이다.
config system network-visibility
set destination-visibility disable
end
위 2가지 방법 모두 주의할 점은 WildCard FQDN값을 확인 할수 없다는 것이다.
주의) 위 설정을 바꿀경우 FortiGate에서는 아래의 명령어(DNS 데몬 재시작)를 사용해서 DNS로 획득한 값을 모두 삭제 해야 한다.
참고적으로 사용자 PC에 캐시되어 있는 DNS를 삭제하는 방법은 아래와 같다.
