ファイアウォール機能 テクニカルガイド |
目次
索引
![]() ![]() |
第1章 運用例(Solaris版) | > 1.3 フィルタリング条件設定例 | > 1.3.1 DNS |
プロバイダの DNS サーバだけを使用する場合の構成例を示します。
上図のように、内部 DNS サーバ/公開DNS サーバが共に存在しない場合、DNS クライアントは ISP のDNS サーバなどのインターネット上の DNS サーバに対して直接問合せを行います。
サービス |
ポリシー |
---|---|
domain-udp1 |
DNS クライアントから ISP の DNS サーバへのアクセスを許可する |
インタフェース名 |
ホスト名 |
IPアドレス |
---|---|---|
le0 |
IN_IF |
192.168.0.1 |
le1 |
OUT_IF |
202.248.171.130 |
ホスト名 |
IPアドレス |
---|---|
isp-DNS |
202.216.160.121 |
ネットワーク名 |
IPアドレス |
ネットマスク |
---|---|---|
in-net |
192.168.0.0 |
255.255.255.0 |
out-net |
202.248.171.128 |
255.255.255.224 |
internet |
0.0.0.0 |
0.0.0.0 |
intra |
192.168.10.0 |
255.255.255.0 |
サービス |
送信元アドレス |
送信先アドレス |
方向 |
処理 |
---|---|---|---|---|
domain-udp1 |
intra |
isp-DNS |
forward |
TRANS |
注
DNS クライアントの IP アドレスがグローバルアドレスである場合は、処理種別として 通過(パケットフィルタリング)を設定することも可能です。しかし、この場合 DNS クラアントの IP アドレスは隠蔽されないため、通過(透過ゲートウェイ)の場合に比べてセキュリティレベルが低くなります。
通常、DNS 検索は UDP を使って実行されます。しかし、データの一部が UDP の転送中に失われた場合、TCP を使って再検索される場合があります。この場合は、domain-tcp に対するパケットフィルタリング条件設定が必要となります。
目次
索引
![]() ![]() |