CatoをDNSサーバーとして使用したDNSフローの例

この記事では、Cato を DNS サーバーとして使用する際の DNS フローの例を提供します。

DNSフローのサンプル図

このセクションでは、いくつかのDNSフローの例を示しています。 各例は、CatoのDNSサービスが異なる構成でどのように機能するかを説明します。

DNSサーバーとしてのCatoの使用

次の図は、Cato DNSサーバー(10.254.254.1)を使用するアカウントの例を示しています。 同じフローは、任意の信頼できるDNSサーバーにも適用されます。

  1. ホストがパブリックドメイン(abc.com)の解決を要求します。

  2. Cato PoPはDNSクエリを傍受し、宛先IPアドレスをチェックします。 PoPはDNS検査を実行し、DNSフォワーディングルールとキャッシュ内のローカルDNSレコードをチェックします。

  3. キャッシュには一致するDNSレコードがありません。

  4. その後、PoPはDNSクエリを信頼できるDNSサーバーに転送し、SNATを実行します。

  5. 信頼できるDNSサーバーが応答を返すと、PoPは送信元と宛先のIPアドレスを元に戻し、応答を元のホストに転送します。

    PoPはDNS応答もキャッシュに保存します。

mceclip0.png

信頼されていないDNSサーバーの使用

次の図は、信頼されていないDNSサーバー(IPアドレス: 208.67.222.222 - OpenDNS)を使用する例を示しています。

  1. PoP は DNS クエリをインターネットを介して "as-is" 宛先 (abc.com) に転送します。

  2. PoP は DNS 保護ポリシーと DNS キャッシングを適用します。

  3. PoPは送信元IPアドレスにNATを実行します(PoPパブリックIPアドレスを使用)。

    PoPはDNS検査を行わず、DNSフォワーディングルールも適用されません。

mceclip1.png

DNSフォワーディングルールの使用

次の図は、DNSフォワーディングルール(*.local.org)が適用された場合のCatoのDNSサービス(10.254.254.1)へのDNSクエリの例を示しています。

  1. PoPはDNSクエリを検査し、フォワーディングルールをチェックします。

  2. PoPはDNSクエリをリモートDNSサーバー(192.168.5.5)にリダイレクトします。

    PoPはフォワーディングDNSサーバーからのDNS応答をキャッシュしません。

    ホストとDNSサーバーが同じサイトにある場合、これらのパケットの送信元IPは10.254.254.1

mceclip2.png

信頼されていないプライベートDNSサーバーの使用

次の図は、信頼されていないプライベートDNSサーバー(192.168.5.5)を使用する例を示しています。

  1. PoPはDNSクエリをWAN経由で宛先に「そのまま」転送します。

  2. PoP は DNS 保護ポリシーと DNS キャッシングを適用します。

  3. PoPはDNSインスペクションを実行せず、DNSフォワードルールも適用されません。

注意: DNS レスポンスは、インターネットファイアウォールとネットワークルールで使用される dname フィールドにまだ入ります。 これは、レスポンスがCatoによって検査およびブロックされる可能性があることを意味します。

mceclip3.png

DNS リレーを使用して DNS サーバーとして Cato を使用すること

以下の図は、ローカルDNSサーバー用にスプリットトンネルポリシーで例外を設定した場合の、DNSサーバーとしてCatoを使用する例を示しています。

例外があると、DNSリレーサービスは自動的に実装され、適切な名前解決を促進します。 Cato によって追加された DNSリレーサービスは、 DNS要求を管理し、要求が Cato DNSを通過するかローカル DNSを通過するかを判断します。

ローカルドメインクエリ

このセクションでは、ローカルドメイン用に DNS 要求を送信した時のフローを示します。その要求は、ローカルDNSサーバーに送信されます。

  1. ホストがローカルドメイン (*.local.org) を解決するよう要求します。

  2. DNSリレーは要求を傍受し、ホストと同じサイトに存在するローカルDNSサーバー (192.168.5.5) にリダイレクトします。 DNSリレーはホストと同じIPを使用します(それは内蔵されたコンポーネントであり、他の物理的なインターフェースはありません)。

  3. ローカルDNSサーバーは元のホストにレスポンスを返します。

  4. DNSリレーはレスポンスを傍受して、元のホストにリダイレクトします。

local-dns-flow.png

パブリックドメインクエリ

このセクションでは、Cato DNS サーバーを通してパブリックドメイン用のDNS要求を送信した時のフローを示します。

  1. ホストがパブリックドメイン、例えばcnn.comの解決を要求します。

  2. DNSリレーは要求を傍受し、Cato DNSサーバー (10.254.254.1) にリダイレクトします。 DNSリレーはホストと同じIPアドレスを使用します(それはホストのコンポーネントであり、他に物理的なインターフェースはない)。

  3. 続けてPoPはDNSクエリを信頼されたDNSサーバーに転送し、SNATを実行します。

  4. 信頼されたDNSサーバーはレスポンスをPoPに送信します。

  5. 信頼されたDNSサーバーからのレスポンスを受けた時、PoPは送信元と送信先のIPアドレスを変換し、開始したホストにレスポンスを転送します。

  6. DNSリレーはレスポンスを傍受し、元のホストにリダイレクトします。

Cato-DNS-Relay.png

この記事は役に立ちましたか?

7人中4人がこの記事が役に立ったと言っています

0件のコメント