CatoをDNSサーバーとして使用したDNSフローの例

この記事では、CatoをDNSサーバーとして使用した場合のDNSフローの例を提供します。

DNSフローのサンプル図

このセクションでは、いくつかのDNSフローの例を示します。 各例は、CatoのDNSサービスが異なる構成でどのように機能するかを説明します。

DNSサーバーとしてのCatoの使用

次の図は、Cato DNSサーバー(10.254.254.1)を使用するアカウントの例を示しています。 同じフローは、任意の信頼できるDNSサーバーにも適用されます。

  1. ホストがパブリックドメイン(abc.com)の解決を要求します。

  2. Cato PoPはDNSクエリを傍受し、宛先IPアドレスをチェックします。 PoPはDNS検査を実行し、DNSフォワーディングルールとキャッシュ内のローカルDNSレコードをチェックします。

  3. キャッシュには一致するDNSレコードがありません。

  4. その後、PoPはDNSクエリを信頼できるDNSサーバーに転送し、SNATを実行します。

  5. 信頼できるDNSサーバーが応答を返すと、PoPは送信元と宛先のIPアドレスを元に戻し、応答を元のホストに転送します。

    PoPはDNS応答もキャッシュに保存します。

mceclip0.png

信頼されていないDNSサーバーの使用

次の図は、信頼されていないDNSサーバー(IPアドレス: 208.67.222.222 - OpenDNS)を使用する例を示しています。

  1. PoPはインターネットを介してDNSクエリを「そのまま」宛先(abc.com)に転送します。

  2. PoPは送信元IPアドレスにNATを実行します(PoPパブリックIPアドレスを使用)。

    PoPはDNS検査を行わず、DNSフォワーディングルールも適用されません。

mceclip1.png

DNSフォワーディングルールの使用

次の図は、DNSフォワーディングルール(*.local.org)が適用された場合のCatoのDNSサービス(10.254.254.1)へのDNSクエリの例を示しています。

  1. PoPはDNSクエリを検査し、フォワーディングルールをチェックします。

  2. PoPはDNSクエリをリモートDNSサーバー(192.168.5.5)にリダイレクトします。

    PoPはフォワーディングDNSサーバーからのDNS応答をキャッシュしません。

    ホストとDNSサーバーが同じサイトにある場合、これらのパケットの送信元IPは10.254.254.1

mceclip2.png

信頼されていないプライベートDNSサーバーの使用

次の図は、信頼されていないプライベートDNSサーバー(192.168.5.5)を使用する例を示しています。

  1. PoPはDNSクエリをWAN経由で宛先に「そのまま」転送します。

  2. PoPはDNS検査を行わず、DNSフォワーディングルールも適用されません。

注: DNSレスポンスは、インターネットファイアウォールおよびネットワークルールで使用されるdnameフィールドを引き続き含みます。 これは、レスポンスがCatoによって検査およびブロックされる可能性があることを意味します。

 

mceclip3.png

この記事は役に立ちましたか?

6人中3人がこの記事が役に立ったと言っています

0件のコメント