Cato를 DNS 서버로 사용하는 DNS 플로우의 예시

이 문서는 Cato를 DNS 서버로 사용할 때의 DNS 플로우 예시를 제공합니다.

DNS 플로우의 샘플 다이어그램

이 섹션은 여러 DNS 플로우 예시를 보여줍니다. 각 예시는 Cato의 DNS 서비스가 다양한 구성에서 어떻게 작동하는지 설명합니다.

카토를 DNS 서버로 사용하는 중

다음 다이어그램은 Cato DNS 서버(10.254.254.1)를 사용하는 계정의 예를 보여줍니다. 같은 플로우는 신뢰할 수 있는 DNS 서버 어디에도 적용됩니다.

  1. 호스트는 공용 도메인(abc.com)을 해석하도록 요청합니다.

  2. Cato PoP는 DNS 쿼리를 가로채 목적지 IP 주소를 확인합니다. PoP는 DNS 검사를 수행하고, DNS 전달 규칙 및 캐시에서 로컬 DNS 레코드를 확인합니다.

  3. 캐시에서 일치하는 DNS 레코드가 식별되지 않았습니다.

  4. 그 후 PoP는 DNS 쿼리를 신뢰할 수 있는 DNS 서버로 전달하고 SNAT를 수행합니다.

  5. 신뢰할 수 있는 DNS 서버가 응답을 보내면, PoP는 소스 및 목적지 IP 주소를 다시 변환하고 원래 호스트에 응답을 전달합니다.

    PoP는 DNS 응답도 캐시에 저장합니다.

mceclip0.png

신뢰할 수 없는 DNS 서버를 사용하는 중

다음 다이어그램은 신뢰할 수 없는 DNS 서버(208.67.222.222 - OpenDNS)를 사용하는 예제를 보여줍니다.

  1. PoP는 DNS 쿼리를 인터넷을 통해 목적지(abc.com)로 "있는 그대로" 전달합니다.

  2. PoP는 소스 IP 주소에 대해 NAT를 수행합니다(PoP 공인 IP 주소 사용).

    PoP는 DNS 검사를 수행하지 않으며, DNS 전달 규칙도 적용되지 않습니다.

mceclip1.png

DNS 전달 규칙 사용 중

다음 다이어그램은 DNS 전달 규칙이 적용되었을 때(*.local.org) Cato의 DNS 서비스(10.254.254.1)에 대한 DNS 쿼리의 예를 보여줍니다.

  1. PoP는 DNS 쿼리를 검사하고, 전달 규칙을 확인합니다.

  2. PoP는 DNS 쿼리를 원격 DNS 서버(192.168.5.5)로 리디렉션합니다.

    PoP는 전달 DNS 서버에서 온 DNS 응답을 캐시하지 않습니다.

    호스트와 DNS 서버가 같은 사이트에 있는 경우, 이 패킷의 소스 IP는 10.254.254.1

mceclip2.png

신뢰할 수 없는 비공개 DNS 서버를 사용하는 중

다음 다이어그램은 신뢰할 수 없는 사설 DNS 서버(192.168.5.5)를 사용하는 예제를 보여줍니다.

  1. PoP는 DNS 쿼리를 WAN을 통해 목적지로 "있는 그대로" 전달합니다.

  2. PoP는 DNS 검사를 수행하지 않으며, DNS 전달 규칙도 적용되지 않습니다.

참고:  DNS 대응은 여전히 인터넷 방화벽 그리고 네트워크 규칙에서 사용되는 dname 필드를 채웁니다. 이는 응답이 카토에 의해 검사되고 차단될 수 있음을 의미합니다.

 

mceclip3.png

도움이 되었습니까?

6명 중 3명이 도움이 되었다고 했습니다.

댓글 0개