ネットワーク上のコンピュータからのDNSクエリをDNSサーバに転送するようにFireboxを設定することができます。 たとえば、DNS転送を使用して、支社からのDNSクエリを本社のリモートDNSサーバに送信できます。
Fireware Web UI、Policy Manager、およびCLIからDNS転送を有効にすることができます。 また、条件付きDNS転送ルールを追加することもできます。 これらのルールを使用すると、クエリ内のドメイン名に基づいて、異なるDNSサーバにDNSクエリを送信することができます。
条件付きDNS転送は、DNSクエリに対する応答時間を短縮することができます。 クラウドにリソースがある場合、ユーザーはそれらのリソースにより速く接続できます。
- 一部のクラウドサービスプロバイダーは、ジオロケーションを使用して、接続先のデータセンターを選択します。
- FireboxはDNSクエリの結果をキャッシュします。
Firewareのv11.12.1以下では、DNS転送はコマンドラインからしか有効にできず、条件付きのDNS転送はサポートされていません。 Fireware v11.12.2 にアップグレードする前に DNS 転送を有効にした場合、DNS 転送は引き続き有効ですが、このトピックで説明するように、機能が変更されます。
Fireware v11.12.1以下でDNS転送を有効にする手順については、WatchGuard Knowledge BaseのHow to enable DNS forwardingを参照してください。
DNS Servers on Your Firebox
これらのDNSサーバーはFireboxに設定されている可能性があります。
- ネットワークDNSサーバー – Firebox上のすべてのインターフェイスとローカルプロセスのデフォルトDNSサーバー
- インターフェースDNSサーバー – 指定したインターフェースのDNSサーバー
- 条件付きDNSサーバー – 指定したインターフェースのDNSサーバー
- ネットワークDNSサーバー – Firebox上のすべてのインターフェイスとローカルプロセスのDNSサーバー条件付きDNSサーバー -指定したインターフェースのDNSサーバー
- ネットワークDNSサーバー DNS転送ルールで指定したドメイン名とインターフェイス
- DNS server obtained from your ISP – Firebox is configured as DHCP client or PPPoE client
- DNSWatch server – DNSWatch is enabled時のDNSサーバーです。 場合によっては
それぞれのDNSサーバーは目的が異なるため、Fireboxの設定で別の場所に設定されます。
一部のDNSサーバは他のDNSサーバより優先されます。 DNS転送ルールを有効にする場合は、次の点に注意してください。
- 条件付きDNSサーバは、ネットワークDNSサーバおよびDNSWatchサーバより優先されます。
- インタフェースDNSサーバは条件付きDNSサーバより優先されます。
DNSサーバの優先度の詳細については、Firebox上のDNSについてを参照してください。
仕組み
DNS転送、および条件付きDNS転送は、これらのネットワークモードで有効にすることができます。
- ミックスルーティングモード
- ドロップインモード
- ブリッジモード
DNS転送を有効にする場合:
- DNS転送に参加するには、信頼済み、オプション、またはカスタムインタフェースから一つ以上選択する必要があります。
- Fireboxのローカルプロセスは、FireboxをDNSサーバとして使用します。
- FireboxはDNSクエリの結果をキャッシュします(最大1万エントリ)。
- 条件付きDNS転送ルールを追加しない場合、FireboxのローカルIPアドレスに送られたDNSクエリは指定したネットワークDNSサーバに転送されます。 Fireboxはこれらのクエリの結果をキャッシュします。
- FireboxをDHCPサーバーとして設定すると、DHCPサーバーの設定でDNSサーバーを指定しない限り、ネットワーク上のDHCPクライアントは自動的にDNSサーバーとしてインターフェースのIPアドレスを使用します。
- DNS転送用に設定したインターフェースからFireboxに送信されたDNSトラフィックは許可されています。 DNSポリシーとDNSプロキシポリシーは、パススルーDNSトラフィックにのみ適用されます。
- FireboxインターフェイスをDHCPサーバーに設定し、インターフェイスをDNS転送に設定した場合:
- DHCP設定でDNSサーバーを指定しなかった場合、DHCPサーバーは自動的にDNSサーバーとしてFireboxインターフェイスのIPを渡します。 DNS転送が発生します。
- DHCPの設定でFireboxインターフェイスのIPアドレス以外のDNSサーバーを指定した場合、DHCPサーバーは自動的に指定したDNSサーバーのIPアドレスを付与します。 DNS転送は行われません。
Fireboxは同時に最大10,000のDNSリクエストを処理することができます。
DNS転送のログを有効にすると、DNS転送が発生したときにFireboxはログメッセージを生成します。
サイト間のBOVPN仮想インターフェイス接続がある場合、DNS転送を設定するには、VPN全体でDNS転送が機能するように、BOVPN仮想インターフェイス設定に仮想インターフェイスIPアドレスを追加しなければなりません。 DNSサーバーはトラフィックをそのIPアドレスに戻すようにルーティングする必要があるため、仮想インターフェースIPアドレスは必須です。 仮想インターフェイスIPアドレスの詳細については、BOVPN仮想インターフェイスIPアドレスの設定を参照してください。
Firewarev12.4以降では、ブリッジモードでDNSWatchを有効にすることができます。 Fireboxがローカルドメインのホスト名を解決するためには、ローカルDNSサーバを指定するローカルドメインのDNS転送ルールを作成する必要があります。
Conditional DNS Forwarding
条件付きDNS転送ルールを追加することができます。 転送ルールを追加すると、Fireboxはキャッシュされた情報を使用してDNSクエリに応答するか、またはクエリをルールで指定されたDNSサーバに転送します。
たとえば、本社にVPN接続している支社のFireboxでは、次のようにDNS設定を構成できます。
- 内部ドメインexample.comのDNSクエリをVPNを介して本社のDNSサーバーに転送します。
- 他のすべてのDNSクエリを、支店に物理的に近いパブリックDNSサーバに転送します。
設定
Fireboxで条件付きDNS転送を有効にすると、DNS転送ルールを追加することができます。 各DNS転送ルールには、次の設定を指定します。
Domain Name
1つまたは複数のドメイン名を追加します。 指定できるドメイン名の数に制限はありません。 より具体的なドメイン名が優先されます。 ドメイン名の順番は関係ありません。
DNS Server
DNSサーバーを指定します。 追加したドメイン名に対する問い合わせは、指定したDNSサーバーに送信されます。 各ドメイン名に対して最大4つのDNSサーバーを追加することができます。 Fireboxはリストの最初のDNSサーバーに連絡し、必要に応じて他のDNSサーバーに連絡します。
例
この例では、支社にDHCPサーバーとして構成されたFireboxがあるとします。 DHCPサーバーの設定にインターフェイスDNSサーバーは指定されていません。 内部DNSサーバーは本社オフィスのネットワーク上にあります。 支店のFireboxでは、条件付きDNS転送ルールにより、example.comに対するクエリが本社のDNSサーバーに送信されます。
動作方法:
- 支店では、ネットワーク上のDHCPクライアントがドメイン名example.comのDNSクエリーを送信します。
- Fireboxはクエリーを受信して、DNSキャッシュを調べます。
- キャッシュにexample.comのエントリが含まれていない場合、FireboxはDNS転送リストを調べます。
- example.comがDNS転送リストに含まれている場合、Fireboxはそのドメイン名に対して指定されたDNSサーバにクエリを転送します。
この例では、クエリは本社のリモートDNSサーバ、10.50.1.253に転送されます。 - example.comがDNS転送リストに含まれていない場合、FireboxはDNSクエリをネットワークDNSサーバに転送し、この例では4.2.2.1になっています。
これらの画像は、この例のネットワークDNSとDNS転送の設定を示しています。
DNS forwarding settings in the Web UI
DNS forwarding settings in Policy Manager
Fireware v12.6.4 以上で、DNSキャッシュは無効化させることが可能です。 詳しくは、FireboxのDNSについて
参照
ネットワークDNSとWINSサーバの設定
IPSecによるモバイルVPN用のDNSとWINSサーバの設定
FireboxのDNSについて
ウォッチガードDNSWatchについて
参照