DNS Proxyの設定方法

PAシリーズをDNS Proxyとして利用する方法を記載します。DNS Proxyを利用することで、拠点などのDNSサーバが存在しない環境でPAシリーズを簡易的なDNSサーバのように利用したり、ドメイン毎に問い合わせをするDNSサーバを変更したりすることが可能です。

DNS Proxyの設定方法

以下のような環境で、Trust側のIF(10.0.20.4)をDNS Proxyとして設定します。

  • NETWORKタブ → DNS Proxy → 画面下[Add]をクリックして以下3箇所を設定します。
    • Name:DNS Proxyの名前
    • INTERFACE:ethernet1/2(DNS Proxyとして動作させるIF)
    • Primary:DNS Proxy(PAが問い合わせを行うDNSサーバを指定)

基本的な設定はこれだけです。Commitするとethernet1/2(10.0.20.4)がDNS Proxyとして動作します。なお、PAが外部DNSサーバ(8.8.8.8)に対して通信を行う際の送信元アドレスはDNS Proxyを動作させているインターフェイスのアドレス(10.0.20.4)になります。この通信はポリシーで許可しておく必要があります。

その他の設定

Inheritance(継承)設定

Inheritance Source(継承元)とは、主にWAN側のIFでPPPoEやDHCPを利用している場合に使用する機能です。PPPoEやDHCPでは、IPアドレスと同時に外部DNSサーバのアドレスも配布していますが、Inheritance Source設定を行うことで明示的に外部DNSサーバのアドレスを設定しなくとも、この配布された外部DNSサーバのアドレスを自動的に継承させることができます。

ちなみに、PPPoEやDHCPを利用しているインターフェイスはDNS Proxyとして利用することができません(INTERFACEの候補として出てきません)。

Static Entries 設定

内部DNSサーバのように特定のドメインを登録したい場合は、Static Entriesタブを利用します。この登録したドメインは逆引きにも利用可能なので、Global Protectの内部GWを使いたい場合などにも利用できます。

[正引き]
C:\Users\Administrator>nslookup test1.local
Server:  UnKnown
Address:  10.0.20.4

Non-authoritative answer:
Name:    test1.local
Address:  10.10.10.10
                  10.10.10.20
[逆引き]
C:\Users\Administrator>nslookup -type=ptr 10.10.10.10
Server:  UnKnown
Address:  10.0.20.4

Non-authoritative answer:
10.10.10.10.in-addr.arpa        name = test1.local

DNS Proxy Rule

DNS Proxy Ruleを利用することで、ドメイン毎に名前解決を行う外部DNSサーバを指定することができます。以下の設定では、www.yahoo.co.jpの名前解決の時だけ外部DNSサーバとして1.1.1.1(CloudFlare)を利用し、それ以外のドメインについては8.8.8.8(Google)を利用します。

また、登録するドメインにはワイルドカード(*) が利用可能なので例えば、企業内のドメインについては内部DNSサーバで名前解決し、それ以外はGoogleなどの外部DNSサーバで名前解決を行うような設定も行うことができます。

トラフィックログを確認すると、上記の通りwww.yahoo.co.jpの名前解決を行うときだけ1.1.1.1が利用されていることが確認できます。

コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!

タイトルとURLをコピーしました