DNS Proxyの設定方法

PAシリーズをDNS Proxyとして利用する方法を記載します。DNS Proxyを利用することで、拠点などのDNSサーバが存在しない環境でPAシリーズを簡易的なDNSサーバのように利用したり、ドメイン毎に問い合わせをするDNSサーバを変更したりすることが可能です。

DNS Proxyの設定方法

以下のような環境で、Trust側のIF（10.0.20.4）をDNS Proxyとして設定します。

• NETWORKタブ → DNS Proxy → 画面下[Add]をクリックして以下3箇所を設定します。
  • Name：DNS Proxyの名前
  • INTERFACE：ethernet1/2（DNS Proxyとして動作させるIF）
  • Primary：DNS Proxy（PAが問い合わせを行うDNSサーバを指定）

基本的な設定はこれだけです。Commitするとethernet1/2（10.0.20.4）がDNS Proxyとして動作します。なお、PAが外部DNSサーバ（8.8.8.8）に対して通信を行う際の送信元アドレスはDNS Proxyを動作させているインターフェイスのアドレス（10.0.20.4）になります。この通信はポリシーで許可しておく必要があります。

その他の設定

Inheritance（継承）設定

Inheritance Source（継承元）とは、主にWAN側のIFでPPPoEやDHCPを利用している場合に使用する機能です。PPPoEやDHCPでは、IPアドレスと同時に外部DNSサーバのアドレスも配布していますが、Inheritance Source設定を行うことで明示的に外部DNSサーバのアドレスを設定しなくとも、この配布された外部DNSサーバのアドレスを自動的に継承させることができます。

ちなみに、PPPoEやDHCPを利用しているインターフェイスはDNS Proxyとして利用することができません（INTERFACEの候補として出てきません）。

Static Entries 設定

内部DNSサーバのように特定のドメインを登録したい場合は、Static Entriesタブを利用します。この登録したドメインは逆引きにも利用可能なので、Global Protectの内部GWを使いたい場合などにも利用できます。

[正引き]
C:\Users\Administrator>nslookup test1.local
Server:  UnKnown
Address:  10.0.20.4

Non-authoritative answer:
Name:    test1.local
Address:  10.10.10.10
                  10.10.10.20

[逆引き]
C:\Users\Administrator>nslookup -type=ptr 10.10.10.10
Server:  UnKnown
Address:  10.0.20.4

Non-authoritative answer:
10.10.10.10.in-addr.arpa        name = test1.local

DNS Proxy Rule

DNS Proxy Ruleを利用することで、ドメイン毎に名前解決を行う外部DNSサーバを指定することができます。以下の設定では、www.yahoo.co.jpの名前解決の時だけ外部DNSサーバとして1.1.1.1(CloudFlare)を利用し、それ以外のドメインについては8.8.8.8(Google)を利用します。

また、登録するドメインにはワイルドカード(*) が利用可能なので例えば、企業内のドメインについては内部DNSサーバで名前解決し、それ以外はGoogleなどの外部DNSサーバで名前解決を行うような設定も行うことができます。

トラフィックログを確認すると、上記の通りwww.yahoo.co.jpの名前解決を行うときだけ1.1.1.1が利用されていることが確認できます。