Cato를 DNS 서버로 사용하는 DNS 플로우의 예시

이 문서는 Cato를 DNS 서버로 사용할 때의 DNS 흐름 예제를 제공합니다.

DNS 흐름의 샘플 다이어그램

이 섹션에서는 몇 가지 DNS 흐름 예제를 보여줍니다. 각 예시는 Cato의 DNS 서비스가 다양한 구성에서 어떻게 작동하는지 설명합니다.

카토를 DNS 서버로 사용하는 중

다음 다이어그램은 Cato DNS 서버(10.254.254.1)를 사용하는 계정의 예를 보여줍니다. 같은 플로우는 신뢰할 수 있는 DNS 서버 어디에도 적용됩니다.

  1. 호스트는 공용 도메인(abc.com)을 해석하도록 요청합니다.

  2. Cato PoP는 DNS 쿼리를 가로채 목적지 IP 주소를 확인합니다. PoP는 DNS 검사를 수행하고, DNS 전달 규칙 및 캐시에서 로컬 DNS 레코드를 확인합니다.

  3. 캐시에서 일치하는 DNS 레코드가 식별되지 않았습니다.

  4. 그 후 PoP는 DNS 쿼리를 신뢰할 수 있는 DNS 서버로 전달하고 SNAT를 수행합니다.

  5. 신뢰할 수 있는 DNS 서버가 응답을 보내면, PoP는 소스 및 목적지 IP 주소를 다시 변환하고 원래 호스트에 응답을 전달합니다.

    PoP는 DNS 응답도 캐시에 저장합니다.

mceclip0.png

신뢰할 수 없는 DNS 서버를 사용하는 중

다음 다이어그램은 신뢰할 수 없는 DNS 서버(208.67.222.222 - OpenDNS)를 사용하는 예제를 보여줍니다.

  1. PoP는 DNS 쿼리를 "기본 상태"로 인터넷을 통해 대상지(abc.com)로 전달합니다.

  2. PoP는 DNS Protection 정책과 DNS 캐싱을 적용합니다.

  3. PoP는 소스 IP 주소에 대해 NAT를 수행합니다(PoP 공인 IP 주소 사용).

    PoP는 DNS 검사를 수행하지 않으며, DNS 전달 규칙도 적용되지 않습니다.

mceclip1.png

DNS 전달 규칙 사용 중

다음 다이어그램은 DNS 전달 규칙이 적용되었을 때(*.local.org) Cato의 DNS 서비스(10.254.254.1)에 대한 DNS 쿼리의 예를 보여줍니다.

  1. PoP는 DNS 쿼리를 검사하고, 전달 규칙을 확인합니다.

  2. PoP는 DNS 쿼리를 원격 DNS 서버(192.168.5.5)로 리디렉션합니다.

    PoP는 전달 DNS 서버에서 온 DNS 응답을 캐시하지 않습니다.

    호스트와 DNS 서버가 같은 사이트에 있는 경우, 이 패킷의 소스 IP는 10.254.254.1

mceclip2.png

신뢰할 수 없는 비공개 DNS 서버를 사용하는 중

다음 다이어그램은 신뢰할 수 없는 사설 DNS 서버(192.168.5.5)를 사용하는 예제를 보여줍니다.

  1. PoP는 DNS 쿼리를 WAN을 통해 목적지로 "있는 그대로" 전달합니다.

  2. PoP는 DNS Protection 정책과 DNS 캐싱을 적용합니다.

  3. PoP는 DNS 검사를 수행하지 않으며 DNS 전달 규칙이 적용되지 않습니다.

참고: DNS 응답은 여전히 인터넷 방화벽 및 네트워크 규칙에 사용되는 dname 필드를 채웁니다. 이는 응답이 카토에 의해 검사되고 차단될 수 있음을 의미합니다.

mceclip3.png

DNS 릴레이와 함께 Cato를 DNS 서버로 사용

다음 다이어그램은 로컬 DNS 서버에 대해 분할 터널 정책에서 예외를 구성했을 때 Cato를 DNS 서버로 사용하는 예를 보여줍니다.

예외가 있으면 DNS 릴레이 서비스가 자동으로 구현되어 적절한 해결을 용이하게 합니다. Cato는 DNS 요청을 관리하고 요청이 Cato DNS를 통해 통과해야 하는지 로컬 DNS를 통해 통과해야 하는지를 결정하기 위해 DNS 릴레이 서비스를 추가했습니다.

로컬 도메인 쿼리

이 섹션은 로컬 도메인에 대해 DNS 요청을 보낼 때의 흐름을 보여주며, 이는 로컬 DNS 서버로 보내집니다.

  1. 호스트는 로컬 도메인 (*.local.org)을 해결하려고 요청합니다.

  2. DNS 릴레이는 요청을 가로채어 같은 사이트에 위치한 로컬 DNS 서버 (192.168.5.5)로 리디렉션합니다. DNS 릴레이는 호스트와 동일한 IP 주소를 사용합니다(이는 호스트의 한 구성 요소일 뿐이고, 다른 물리적 인터페이스를 가지고 있지 않기 때문입니다).

  3. 로컬 DNS 서버는 응답을 요청한 호스트로 다시 보냅니다.

  4. DNS 릴레이는 응답을 가로채어 요청한 호스트로 리디렉션합니다.

local-dns-flow.png

공용 도메인 쿼리

이 섹션은 Cato DNS 서버를 통해 공용 도메인에 대해 DNS 요청을 보낼 때의 흐름을 보여줍니다.

  1. 호스트는 예를 들어 cnn.com을 해결하려고 요청합니다.

  2. DNS 릴레이는 요청을 가로채서 Cato DNS 서버 (10.254.254.1)로 리디렉션합니다. DNS 릴레이는 호스트와 동일한 IP 주소를 사용합니다(이는 호스트의 한 구성 요소일 뿐이고, 다른 물리적 인터페이스를 가지지 않기 때문입니다).

  3. 그런 다음 PoP는 신뢰할 수 있는 DNS 서버로 DNS 쿼리를 전달하고 SNAT를 수행합니다.

  4. 신뢰할 수 있는 DNS 서버는 PoP로 응답을 보냅니다.

  5. 신뢰할 수 있는 DNS 서버가 응답을 보내면, PoP는 소스 및 대상 IP 주소를 변환하고 응답을 요청한 호스트로 전달합니다.

  6. DNS 릴레이는 응답을 가로채어 요청한 호스트로 리디렉션합니다.

Cato-DNS-Relay.png

도움이 되었습니까?

7명 중 4명이 도움이 되었다고 했습니다.

댓글 0개