F100防火墙，DNS各种超时

带宽和 IP 访问都正常，说明网络连通性没问题，根因大概率出在 Local 域策略或 DNS 代理工作机制上。

 一、可能原因分析

F100 系列防火墙 DNS 解析失败或超时主要有以下几种原因：

1. 缺少 Local 域的安全策略（最常见）

防火墙自身的 DNS 查询（无论是作为 DNS 代理还是主动解析）属于 Local 域流量。如果安全策略没有放通 Trust → Local 或 Local → Untrust 的 DNS 流量，会导致解析超时或失败。

“检查域间安全策略是否允许 Local域（防火墙自身）接收来自 内网域 的 DNS 请求（UDP 53 端口）。若策略未放行，内网设备通过网关的 DNS 查询会被拦截。”

2. DNS 代理首次查询超时的固件特性

有用户反馈在 F100-C-G5 上配置 DNS Proxy 后，首次查询必然超时，第二次才成功，缓存超时后再次超时。这是特定固件版本（如 R9560P43）下的现象，与你提到的 R9660P57 可能属于同一问题家族。

3. 客户端 DNS 指向问题

内网终端的 DNS 必须设置为防火墙接口 IP（网关地址），才能通过 DNS 代理进行解析。如果终端直连公网 DNS（如 114.114.114.114），则流量不经过防火墙 DNS 代理，基于域名的策略也可能失效。

4. DNS Snooping vs DNS Proxy

有案例显示，关闭 DNS 代理、开启 DNS Snooping 后问题解决。两者的区别：

• DNS Proxy：防火墙主动代理转发 DNS 请求，涉及 Local 域策略

• DNS Snooping：防火墙“偷听”终端与公网 DNS 的交互，不主动代理，配置更简单

 二、完整排查与解决方案

 第一步：检查并添加 Local 域安全策略（最关键）

即使你配置了“安全策略全通”，也需要检查是否包含 Local 域。执行以下命令或 Web 操作：

 第二步：尝试 DNS Snooping 替代 DNS Proxy

如果 DNS 代理问题持续存在，可尝试关闭 DNS 代理，改用 DNS Snooping：

优势：DNS Snooping 不需要防火墙主动发起 DNS 请求，绕过 Local 域策略问题，且能正常用于基于域名的策略。

 第三步：清除 DNS 缓存

配置变更后，执行以下命令清除可能存在的陈旧缓存：

 第四步：确认客户端 DNS 设置

• DHCP 方式：确保 DHCP 地址池下发的 DNS 服务器地址为防火墙接口 IP

  dhcp server ip-pool <name>

  dns-list <防火墙内网接口IP>
• 静态方式：手动将终端 DNS 设置为防火墙内网接口 IP

 第五步：确认接口 NAT 配置正确

你已配置接口 NAT，检查 NAT 策略是否包含 DNS 流量（UDP 53）：