DNS中継

DNS中継機能を使用すると、本装置をDNSサーバのように利用することができます。UDP/TCPによるリクエストの中継、およびDNSSECに対応しています。

1. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
本装置とDNSサーバの間の通信
DNSクライアントと本装置の間の通信
2. デフォルトの動作状態
機能 状態 備考
DNS中継 無効
注:
  • 本装置がDNSリクエストを受け付けるたびにDNSサーバに問い合わせ、得られた結果をリクエスト元に送信します。名前解決結果をキャッシュする機能はありません。

使用可能なDNSサーバ

  • 任意のDNSサーバ
  • DHCPで取得したDNSサーバ
  • IPCPで取得したDNSサーバ
  • DHCPv6で取得したDNSサーバ

使用するDNSサーバのアドレスファミリがIPv4であっても、AAAAレコードの解決に制限はありません。

DNSサーバの自動選択

複数のDNSサーバが設定されている場合、有効な(ダウン判定されていない)DNSサーバから、下記の優先順位に従って選択します。

DNSクエリが発生すると選択されたDNSに問い合わせ、正常な応答が無い場合は当該DNSサーバの使用を自動的に停止し、次のDNSを選択します。
  1. IPアドレスで指定したDNSサーバ
    • 複数指定されている場合はコンフィグのインデックス番号順
  2. DHCPで取得したDNSサーバ
  3. IPCPで取得したDNSサーバ
    • 最後に確立したセッションのDNSサーバのみ使用する
  4. DHCPv6で取得したDNSサーバ

また、問い合わせ先からの応答によって次のように再問い合わせを行います。

  • 問い合わせ先DNSから正常応答(NOERRORまたはNXDOMAIN)が得られた場合は、応答を中継して問い合わせを終了します。
  • 問い合わせ先DNSから異常応答(REFUSEDやSERVFAILなど)が得られた場合は、応答を中継せずに次のDNSサーバへ問い合わせます。
  • 問い合わせ先DNSから応答が無くタイムアウト(UDPの場合4秒、TCPの場合60秒)した場合は、次のDNSサーバへ問い合わせます。
  • 使用可能なすべての問い合わせ先が異常応答またはタイムアウトした場合は問い合わせを終了します。このとき、クライアントに対する応答は行いません。
DNSサーバのダウン判定
応答タイムアウトが連続で3回発生したDNSサーバはダウン中と判定し、300秒間問い合わせ先に使用しません。
ひとつの問い合わせは同一のDNSにリトライしないため、ダウン判定に至る時間は不定です。
すべての問合せ先DNSがダウン判定になると、すべてのダウン判定を直ちに解除します。

DNSサーバのリスト、優先順位、および選択状況はステータス参照コマンドで参照できます。

ドメイン名毎の中継先指定

特定のドメイン名および、そのサブドメイン名に対する名前解決リクエストを、個別のDNSサーバへ中継することができます。
  • クライアントが問い合わせたドメイン名と指定ドメイン名が一致する場合、または、問い合わせドメイン名が指定ドメイン名のサブドメインにあたる場合に、個別のDNSへ中継します。
設定とマッチング動作の例を次に示します。
設定例
ドメイン指定 中継先
通常の中継先 IPCP(自動取得)
com
  • 172.16.0.1
  • 172.16.0.2
example.jp
  • 192.168.0.1
  • 192.168.0.2
sub.example.jp
  • 192.168.1.1
問い合わせドメインのマッチング例
問い合わせドメイン 一致するドメイン指定
www.seil.jp 一致しない(通常の中継先を使用)
example.com "com"
example.jp "example.jp"
ple.jp 一致しない(通常の中継先を使用)
www.example.jp "example.jp"
b.example.jp "example.jp"
www.sub.example.jp "sub.example.jp"("example.jp"の中継先は使用しない)
  • ドット区切り毎に完全一致するセグメントが最も長い指定ドメインにマッチします。
  • マッチしたドメイン指定の中継先DNSが複数設定されている場合の選択基準は、DNSサーバの自動選択に準じます。

DNSリクエストの受け付け

DNSリクエストはコンフィグで指定されたインタフェース(IPアドレスが必要)を基準に受付可否を判断します。また、判断基準はDNSリクエストのプロトコルによって異なります。
注:
意図せずオープンDNSとならないよう適切なインタフェースを指定してください。また、必要に応じてIPパケットフィルタを設定してください。
UDPのDNSリクエスト
コンフィグで指定されたインタフェースと、受信インタフェースが一致するDNSリクエストのみ受け付けます。
注:
  • ブリッジインタフェースを指定した場合は、当該ブリッジのメンバーインタフェースすべてでDNSリクエストを受け付けます。ブリッジのメンバーインタフェースを指定した場合は、当該インタフェースおよび他のメンバーインタフェースでDNSリクエストを受け付けません。
TCPのDNSリクエスト
コンフィグで指定されたインタフェースのIPアドレスと、受信パケットの送信先IPアドレスが一致するDNSリクエストのみ受け付けます。
注:
  • IPアドレスが一致すれば受信インタフェースによらず受け付けます(IPアドレスを持たないインタフェースを除く)。
ヒント:
本装置のリゾルバ機能によるDNSリクエストは、インタフェース指定に関わらず常に受け付けます。

DNSレコードの静的設定

コンフィグにDNSレコードを設定し、DNSリクエストへの応答に使用することができます。

静的に設定された名前へのリクエストには本機能が応答し、DNSサーバへ中継しません。一致する名前が設定されていないリクエストは本機能が処理せずDNSサーバへ中継します。

  • 名前とレコードタイプが両方とも設定されているリクエストには、登録内容を応答します。この応答にはAA bitを付与します。
  • 名前が設定されているがレコードタイプが設定されていないリクエスト、またはANYタイプのリクエストには、NOERRORを応答します。