Можно ли установить zscaler на виртуальную машину (например, linux) и использовать ее для доступа только к нескольким именам хостов? Я бы указал другим машинам обращаться через эту виртуальную машину только к этим нескольким именам хостов, а все остальное шло бы обычным путем (через мой локальный шлюз). Есть ли более простой способ сделать это?
По сути, я хочу запретить zscaler исследовать весь трафик, который я провожу на своей машине.
ОБНОВЛЯТЬ
Итак, мне удалось сделать это немного. Я просто установил zscaler на vmware ubuntu server и добавил правило iptables:
sudo iptables -t nat -A POSTROUTING -o zcctun0 -j MASQUERADE
где zcctun0находится интерфейс, который добавляет zscaler
Я также установил в файле hosts Windows:
55.22.22.22 some.server.com
И я добавил статический маршрут в Windows:
route add 55.22.0.0 mask 255.255.0.0 192.168.44.131 if 19
Где if 19находится сетевой интерфейс VMware NAT, который использует виртуальная машина, и 192.168.44.131какой IP-адрес Ubuntu на этом ens33интерфейсе?
Проблема, с которой я столкнулся сейчас - мне нужно вручную зайти some.server.comиз firefox из сервера vmware ubuntu, в противном случае в windows я получаю только таймауты соединения, когда он пытается подключиться в первый раз. Как только я открываю some.server.comв ubuntu, я могу получить доступ ко всем серверам также из windows.
Есть идеи?
ОБНОВЛЯТЬ
Кажется, мне даже не нужно открывать страницу. Я могу просто сделать
nslookup some.server.com
внутри сервера Ubuntu, и тогда это будет работать и в Windows (но только для этого доменного имени).
Странно, что nslookupвозвращается 55.22.22.22IP (который уже установлен в файле hosts). Также, похоже, у zscaler есть собственный DNS (127.0.0.53#53) - так что, я думаю, это из-за этого.
ОБНОВЛЯТЬ
После установки bind9и настройки пересылки на 127.0.0.53, а также после добавления этого в Windows Power Shell Add-DnsClientNrptRule -Namespace ".somedomain.com" -NameServers "192.168.44.131"все работает с самого начала. Здорово...
Осталось только одно - как автоматически добавить статический маршрут в Windows, когда ответ возвращается DNS 192.168.44.131 - чтобы он проходил через виртуальную машину VMware.
решение1
Насколько я знаю, на Windows это невозможно. Может быть, использовать DNS-прокси?
решение2
Осталось только одно - как автоматически добавить статический маршрут в Windows, когда ответ возвращается DNS 192.168.44.131 - чтобы он проходил через виртуальную машину VMware.
решение3
Ну, босс, похоже, вы на правильном пути с настройками и всем остальным, направляя определенный трафик через виртуальную машину, работающую под управлением Zscaler, и позволяя другому трафику использовать ваш локальный шлюз. Однако вы столкнулись с некоторыми проблемами с разрешением DNS и добились прогресса в их решении.
Просто чтобы убедиться, что мы на одной волне: вы хотите направить трафик для определенных имен хостов через виртуальную машину Zscaler и позволить всему остальному использовать ваш локальный шлюз? Если это так, вот несколько предложений по решению этой ерунды с DNS!
1. Конфигурация DNS на сервере Ubuntu (виртуальная машина Zscaler):
Убедитесь, что ваш сервер Ubuntu (виртуальная машина Zscaler) настроен на использование соответствующих DNS-серверов. Если у Zscaler есть собственный DNS-резолвер (как вы упомянули, 127.0.0.53#53), крайне важно, чтобы он правильно разрешал определенные имена хостов. Возможно, вам придется настроить параметры DNS Zscaler для обработки ваших пользовательских сопоставлений имени хоста с IP-адресом.
2. Разрешение DNS в Windows:
Когда Windows пытается получить доступ к пользовательским именам хостов, она может полагаться на свой собственный процесс разрешения DNS. Убедитесь, что ваша машина Windows использует сервер Ubuntu (виртуальная машина Zscaler) в качестве своего DNS-сервера для определенных доменов, которые вы хотите маршрутизировать через Zscaler. Вы упомянули использование Add-DnsClientNrptRule для настройки этого.
3. DNS-кэширование в Ubuntu:
В своем обновлении вы упомянули, что запуск nslookup some.server.com внутри сервера Ubuntu, похоже, решает проблему для Windows. Это говорит о том, что сервер Ubuntu может кэшировать записи DNS. Убедитесь, что любая служба кэширования DNS на сервере Ubuntu правильно настроена для пересылки запросов DNS на DNS-резолвер Zscaler.
4. Переадресация DNS с помощью bind9:
Вы упомянули установку bind9 и настройку его в качестве пересылки на 127.0.0.53 (DNS Zscaler). Убедитесь, что bind9 правильно пересылает DNS-запросы для определенных доменов, которые вы хотите направить через Zscaler. Убедитесь, что ваша конфигурация DNS в bind9 включает необходимые зоны пересылки.
5. Тестирование и проверка:
После настройки параметров DNS на сервере Ubuntu и Windows проверьте разрешение DNS для пользовательских имен хостов из Windows, чтобы убедиться, что они разрешаются в правильные IP-адреса. Вы можете использовать nslookup или ping, чтобы убедиться, что разрешение DNS работает так, как и ожидалось.
6. Очистите кэш DNS:
Если вы вносите изменения в настройки DNS на сервере Ubuntu или Windows, рекомендуется очистить кэш DNS на обеих системах, чтобы гарантировать немедленное вступление новых настроек в силу.
Итак, убедившись, что и виртуальная машина Zscaler, и машина Windows настроены на использование правильных DNS-серверов и правил пересылки, вы сможете направлять трафик для определенных имен хостов через виртуальную машину Zscaler, одновременно позволяя другому трафику использовать ваш локальный шлюз. Конфигурация DNS играет важную роль в качестве HMFIC для обеспечения бесперебойной работы этой настройки.
Надеюсь это поможет!