PAシリーズをDNS Proxyとして利用する方法を記載します。DNS Proxyを利用することで、拠点などのDNSサーバが存在しない環境でPAシリーズを簡易的なDNSサーバのように利用したり、ドメイン毎に問い合わせをするDNSサーバを変更したりすることが可能です。
DNS Proxyの設定方法
以下のような環境で、Trust側のIF(10.0.20.4)をDNS Proxyとして設定します。
- NETWORKタブ → DNS Proxy → 画面下[Add]をクリックして以下3箇所を設定します。
- Name:DNS Proxyの名前
- INTERFACE:ethernet1/2(DNS Proxyとして動作させるIF)
- Primary:DNS Proxy(PAが問い合わせを行うDNSサーバを指定)
基本的な設定はこれだけです。Commitするとethernet1/2(10.0.20.4)がDNS Proxyとして動作します。なお、PAが外部DNSサーバ(8.8.8.8)に対して通信を行う際の送信元アドレスはDNS Proxyを動作させているインターフェイスのアドレス(10.0.20.4)になります。この通信はポリシーで許可しておく必要があります。
その他の設定
Inheritance(継承)設定
Inheritance Source(継承元)とは、主にWAN側のIFでPPPoEやDHCPを利用している場合に使用する機能です。PPPoEやDHCPでは、IPアドレスと同時に外部DNSサーバのアドレスも配布していますが、Inheritance Source設定を行うことで明示的に外部DNSサーバのアドレスを設定しなくとも、この配布された外部DNSサーバのアドレスを自動的に継承させることができます。
ちなみに、PPPoEやDHCPを利用しているインターフェイスはDNS Proxyとして利用することができません(INTERFACEの候補として出てきません)。
Static Entries 設定
内部DNSサーバのように特定のドメインを登録したい場合は、Static Entriesタブを利用します。この登録したドメインは逆引きにも利用可能なので、Global Protectの内部GWを使いたい場合などにも利用できます。
[正引き]
C:\Users\Administrator>nslookup test1.local
Server: UnKnown
Address: 10.0.20.4
Non-authoritative answer:
Name: test1.local
Address: 10.10.10.10
10.10.10.20
[逆引き]
C:\Users\Administrator>nslookup -type=ptr 10.10.10.10
Server: UnKnown
Address: 10.0.20.4
Non-authoritative answer:
10.10.10.10.in-addr.arpa name = test1.local
DNS Proxy Rule
DNS Proxy Ruleを利用することで、ドメイン毎に名前解決を行う外部DNSサーバを指定することができます。以下の設定では、www.yahoo.co.jpの名前解決の時だけ外部DNSサーバとして1.1.1.1(CloudFlare)を利用し、それ以外のドメインについては8.8.8.8(Google)を利用します。
また、登録するドメインにはワイルドカード(*) が利用可能なので例えば、企業内のドメインについては内部DNSサーバで名前解決し、それ以外はGoogleなどの外部DNSサーバで名前解決を行うような設定も行うことができます。
トラフィックログを確認すると、上記の通りwww.yahoo.co.jpの名前解決を行うときだけ1.1.1.1が利用されていることが確認できます。
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!