DNS 転送について

Firebox がネットワーク上のコンピュータからの DNS クエリを DNS サーバーに転送するように構成することができます。たとえば、DNS 転送機能を利用して支社からの DNS クエリを本社にあるリモート DNS サーバーに送信することができます。

Fireware Web UI、Policy Manager および CLI からの DNS 転送を有効にすることができます。また、条件付き DNS 転送ルールを追加することもできます。これらのルールにより、クエリのドメイン名に基づいて DNS クエリを様々な DNS サーバーに送信することが可能になります。

条件付き DNS 転送では、DNS クエリに対する応答時間がより迅速になる可能性があります。クラウドにリソースがある場合は、ユーザーはそれらのリソースにより迅速に接続できますが、その理由は以下の通りです。

  • 一部のクラウド サービス プロバイダは地理位置情報を使って接続先のデータセンターを選択します。自分の近くにある DNS サーバーに接続すると、クラウド プロバイダーはユーザーが最寄りのデータセンターに接続できるようにします。
  • Firebox は DNS クエリからの結果をキャッシュします。

このトピックでは、以下の項目について説明します。

Fireware v11.12.1 以前では、コマンド ラインからしか DNS 転送を有効にすることができず、条件付き DNS 転送はサポートされていません。Fireware v11.12.2 にアップグレードする前に DNS 転送を有効にした場合は、DNS 転送は有効化されたままになりますが、機能はこのトピックで説明されるように変更されます。Fireware v11.12.1 以前で DNS 転送を有効にする方法についての詳細は、WatchGuard ナレッジ ベースで DNS 転送を有効にする方法 を参照してください。

Firebox 上の DNS サーバー

これらの DNS サーバーは、次のように Fireboxで設定することができます:

  • ネットワーク DNS サーバー — Firebox 上のすべてのインターフェイスおよびローカル プロセスの既定のDNS サーバー
  • インターフェイス DNS サーバー — 指定したインターフェイスの DNS サーバー
  • 条件付き DNS サーバー ― DNS 転送ルールで指定したドメイン名とインターフェイス用の DNS サーバー
  • ISP で取得した DNS サーバー — Firebox が DHCP クライアントまたは PPPoE クライアントとして構成されている場合
  • DNSWatch サーバー — 一部のケースにおける DNSWatch を有効にした際の DNS サーバー

それぞれの DNS サーバーには様々な目的があり、Firebox 設定の異なる場所で構成されています。

一部の DNS サーバーは他のサーバーよりも優先されます。DNS 転送ルールを有効にするときは、次に注意してください:

  • 条件付き DNS サーバーはネットワーク DNS サーバー、および DNSWatch サーバーよりも優先される
  • インターフェイス DNS サーバーは条件付き DNS サーバーよりも優先される

DNS サーバーの優先度の詳細については、次を参照してください:Firebox の DNS について

DNS 転送

DNS 転送と条件付き DNS 転送を次のネットワーク モードで有効にすることができます:

  • 混合ルーティング モード
  • ドロップイン モード
  • ブリッジ モード

DNS 転送を有効化する際には:

  • 1つか複数の信頼済み、任意またはカスタム インターフェイスを選択して DNS 転送に参加する必要があります。
  • Firebox でのこのローカル プロセスは、Firebox をDNS サーバーとして使用します。
  • Firebox は DNS クエリの結果をキャッシュします (10,000 エントリまで)。
  • 条件付き DNS 転送ルールを追加しないと、Firebox のローカル IP アドレスに送信された DNSクエリは、指定されたネットワーク DNS サーバーに転送されます。Firebox はこれらのクエリの結果をキャッシュします。
  • Firebox を DHCP サーバーとして構成する場合、DHCP サーバー設定で DNS サーバーを指定しない限り、ネットワーク上の DHCP クライアントは、そのインターフェイスの IP アドレスを自動的に DNS サーバーとして使用します。
  • Firebox への DNS 転送の構成がなされたインターフェイスから送信された DNS トラフィックが許可されます。DNS ポリシーと DNS プロキシ ポリシーは、通過する DNS トラフィックのみに適用されます。
  • Firebox インターフェイスを DHCP サーバーとして構成し、そのインターフェイスで DNS 転送が構成されている場合:
    • DHCP 設定で DNS サーバーを指定しないと、DHCP サーバーは Firebox インターフェイスの IP アドレスを DNS サーバーとして自動的に提供します。DNS 転送が行われます。
    • DHCP 設定で Firebox インターフェイスの IP アドレス以外の DNS サーバーを指定すると、DHCP サーバーは指定した DNS サーバーの IP アドレスを自動的に提供します。DNS 転送は行われません。

Firebox は同時に最高で 10,000 までの DNS 要求を処理できます。

DNS 転送のログ記録を有効にすると、Firebox は DNS 転送が発生したときにログ メッセージを生成します。

サイト間で BOVPN 仮想インターフェイス接続が確立されており、DNS 転送を構成している場合は、DNS 転送が VPN 間で機能するよう BOVPN 仮想インターフェイス設定で仮想インターフェイス IP アドレスを追加する必要があります。DNS サーバーはその IP アドレスに戻すようにトラフィックをルーティングする必要があるため、仮想インターフェイス IP アドレスが必要になります。仮想インターフェイス IP アドレスの詳細については、次を参照してください:BOVPN 仮想インターフェイスの IP アドレスを構成する

Fireware v12.4 以降では、ブリッジ モードで DNSWatch を有効化することができます。Firebox でローカル ドメインのホスト名が解決されるようにするには、ローカル DNS サーバーを指定するローカル ドメインの DNS 転送ルールを作成する必要があります。

条件付き DNS 転送

条件付き DNS 転送ルールを追加することができます。転送ルールを追加すると、Firebox はキャッシュされた情報を使ってDNS クエリに応答するか、そのクエリをルールで指定された DNS サーバーに転送します。

たとえば、本社への VPN 接続がある支社の Firebox では、以下を行うため DNS 設定を構成することができます。

  • 社内ドメイン example.com の DNS クエリを、VPN を介して本社の DNS サーバーに転送する。
  • 他のすべての DNS クエリを、支社に物理的により近いパブリック DNS サーバーに転送する。

構成

Firebox で条件付き DNS 転送を有効にすると、DNS 転送ルールを追加することができます。それぞれの DNS 転送ルールに対し、次の設定を指定します:

ドメイン名

1 つ以上のドメイン名を追加します。指定できるドメイン名の数に制限はありません。より具体的なドメイン名が優先されます。ドメイン名の順序は関係ありません。

DNS サーバー

DNS サーバーを指定します。追加したドメイン名のクエリは、指定した DNS サーバーに送信されます。各ドメイン名に対し最大 4 つの DNS サーバーを追加できます。Firebox はリストにある最初の DNS サーバーに連絡し、必要に応じて他の DNS サーバーに連絡します。

DNS キャッシュを無効にする

DNS 転送または DNSWatch 機能を有効にすると、Firebox で DNS リゾルバ (127.0.0.1) が自動的にアクティブ化されます。Fireware v12.6.4 以降では、DNS キャッシュを無効にすることができます。キャッシュを無効にする方法の詳細については、次を参照してください:Firebox の DNS について

この例では、支社には DHCP サーバーとして構成された Firebox があります。DHCP サーバー設定ではインターフェイス DNS サーバーは指定されていません。内部 DNS サーバーは本社のネットワーク上にあります。支社の Firebox で、条件付き DNS 転送ルールが example.com へのクエリを本社の DNS サーバーに送信します。他のすべての DNS クエリは Firebox で指定されたネットワーク DNS サーバーに送信されます。

条件付き DNS 転送が設定されたネットワーク例の配置図

仕組み:

  1. 支社では、ネットワーク上の DHCP クライアントがドメイン名 example.com に対する DNS クエリを送信します。
  2. Firebox はそのクエリを受信し、その DNS キャッシュを調べます。
  3. キャッシュに example.com のエントリが含まれていない場合は、Firebox はその DNS 転送リストを調べます。
  4. DNS 転送リストに example.com が含まれている場合は、Firebox はクエリをそのドメイン名に指定された DNS サーバーに転送します。
    この例では、クエリは、10.50.1.253 にある本社のリモート DNS サーバーに転送されます。
  5. DNS 転送リストに example.com が含まれていない場合は、Firebox はその DNS クエリをネットワーク DNS サーバーに転送しますが、この例ではそれは 4.2.2.1 です。

これらのイメージでは、この例のネットワーク DNS および DNS 転送設定を示しています:

DNS 転送構成のスクリーンショット

Fireware Web UI における DNS 転送設定

WSM における DNS 転送設定のスクリーンショット

Policy Manager における DNS 転送設定

関連情報:

ネットワーク DNS および WINS サーバーを構成する

Mobile VPN with IPSec 用に DNS と WINS サーバー を構成する

Firebox の DNS について

WatchGuard DNSWatch について