RTシリーズのTCP/IPに関するFAQ
DNSリカーシブサーバって何ですか?
| 最終変更日 | 2018/Nov/06 |
| 文書サイズ | 16KB |
DNSリカーシブサーバって何ですか?
[ DNSリカーシブサーバの機能 ]
dns serverコマンドで上位のDNSサーバが指定されていれば、
自分宛にきたDNSの問い合わせパケットをそのサーバに中継する。
キャッシュ(最大256エントリ)を持つので、繰り返しやってくる
問い合わせについてはいちいち上位のサーバに中継せず、自分で返
事ができる。
利用可能なファームウェア:
| 系列 | リビジョン |
|---|---|
| Rev.2系 | Rev.2.01.07以降 |
DNS問い合わせの内容に応じたDNSサーバの選択
DNS問い合わせの解決を依頼するDNSサーバとして、DNS問い合わせの内容 およびDNS問い合わせの送信元とDNSサーバとの組合せを複数登録しておき、 DNS問い合わせに応じてその組合せから適切なDNSサーバを選択できるよう にする。
利用可能なファームウェア:
| 系列 | リビジョン |
|---|---|
| Rev.3.03系 | Rev.3.03.34以降 |
| Rev.4系 | Rev.4.00.18以降 |
ルータに静的にDNSレコードを登録し、それに対する問い合わせには上位のDNS サーバに問い合わせないで、ルータ自身が返事を返すようにする。
利用可能なファームウェア:
| 系列 | リビジョン |
|---|---|
| Rev.3.03系 | Rev.3.03.34以降 |
| Rev.4系 | Rev.4.00.18以降 |
[ DNSリカーシブサーバ機能 ]
+------------+
| DNSサーバ | Internet
+-----+------+ |
| |
------+----------+------------------+--------------------------
|
アクセスポイント(プロバイダ等)
:
: ISDN回線,専用線
:
+------------+
| RTシリーズ | (DNSリカーシブサーバ)
+-----+------+
|
------+-----------------------------+--------------------------
|
+------+------+
| コンピュータ|… (DNSリゾルバ)
+-------------+
:
[BRI] : ISDN回線や専用線
:
+-----------------+-----------------------------------------------------+
| | |
| +-----------------------------+ |
| | PPPやISDN回線の処理 | |
| +-----------------------------+ |
| | |
| +-----------------------------+ +-----------------------------+ |
| | IPフィルタ | | 自己アドレスの処理 | |
| | +----(↓)----+----(↑)----+ | | | |
| | | in | out | | | DNSリカーシブサーバ, | |
| | +----(↓)----+----(↑)----+ | | …, など | |
| +-----------------------------+ +-----------------------------+ |
| | | |
| (PP#1) | |
| | | |
| +-----------------------------------------------------------------+ |
| | IPルーティング | |
| +-----------------------------------------------------------------+ |
| | | |
| (LAN1/Primary) (LAN1/Secondary) |
| | | |
| +-----------------------------+ |
| | IPフィルタ | |
| | +----(↑)----+----(↓)----+ | |
| | | in | out | | |
| | +----(↑)----+----(↓)----+ | |
| +-----------------------------+ |
| | | |
| +-----------------------------+ |
| | イーサネットの処理 | |
| +-----------------------------+ |
| | |
+-----------------+-----------------------------------------------------+
[LAN1] |
|
=================+=================
問い合せ 問い合せ
→ →
DNSリゾルバ DNSリカーシブサーバ DNSサーバ …
(クライアント) ← ↓記録 ←
回答 cache 回答
問い合せ
→
DNSリゾルバ DNSリカーシブサーバ
(クライアント) ← ↑参照
回答 cache
それぞれのDNSレコードには、元のサーバから寿命となる数値が一緒に渡されて きますので、それを保持時間として使っています。ですから、それぞれのDNS レコード(元となる情報)によって、保持時間も異ります。
[ DNSリカーシブサーバに関するいろいろ ]
DNSには、比較的小さなレコードをUDPによって配送する方法と、 大きなレコードをTCPで配送する方法とがあります。 DNSの問い合わせを行う場合には、まずUDPによって配送を試してみて、 それでうまくいかない場合にはTCPに切り替えるようになっています。 ほとんどの場合は、UDPで配送できてしまいますが、 ごくまれに1つのIPアドレスに20以上もの名前がついているような場合もあり、 そのような時にはTCPでの配送となります。
RTシリーズのDNSリカーシブサーバ機能は、UDPによる配送にしか対応していません。 ほとんどの場合はこれで問題ありませんが、ごくまれにレコードが大きくなって、 TCPによる配送に切り替わってしまうと、 それを扱えないためにアドレスが引けないということが起こります。 このような場合は、RTシリーズのDNSリカーシブサーバ機能を使わないように して下さい。
RTシリーズのDNSリカーシブサーバ機能を利用している場合でしたら、以下の 設定を追加するとプライベートアドレスの逆引きに対して上位サーバへの転送 (問い合せ)を行わなくなります。
dns private address spoof on
もし、DHCPサーバで渡すDNSサーバのIPアドレスをdns serverコマンド設定値に
したい場合、以下のようにdns noticeコマンドで指定して下さい。
# Rev.2.02.19以降でサポート。
dns notice order dhcp server[ 例えば、こんな時のため…DNSサーバは、何処に居る?という視点 ]Internet | ------+----------+---------- | アクセスポイント(プロバイダ等) : : ISDN回線,専用線 : +------------+ | RTシリーズ | (DHCPサーバ, DNSリカーシブサーバ) +-----+------+ | ------+-------+--------------------+-------------------------- | | +------+------+ +------+------+ | DNS サーバ | | コンピュータ|… (DNSリゾルバ) +-------------+ +-------------+「DNSリゾルバ−DNSサーバ」という関係で処理したいのに、 「DNSリゾルバ−DNSリカーシブサーバ−DNSサーバ」という関係になってしまい。 無駄なトラフィックを発生させてしまいますから。
もし、IPCP MS拡張(PPP)で渡すDNSサーバのIPアドレスをdns serverコマンド設定値に
したい場合、以下のようにdns noticeコマンドで指定して下さい。
# Rev.2.02.19以降でサポート。
dns notice order msext server
[ 解説 ]
プロバイダのDNSサーバ
↑ [ポート番号:53]
│
│ ←PP側フィルタ
│
│
│ ←LAN側フィルタ
│
↓ [ポート番号:137,138,139]
NetBIOS (Lan Maneger)
∴PP側、LAN側のどちらでもフィルタできる。
プロバイダのDNSサーバ
↑ [ポート番号:53]
│
│ ←PP側フィルタ…53をフィルタする訳にはいかない。
│
↓ [ポート番号:53]
DNSリカーシブサーバ
↑ [ポート番号:53]
│
│ ←LAN側フィルタ…137,138,139でフィルタできる。
│
↓ [ポート番号:137,138,139]
NetBIOS
∴PP側でフィルタできないものがある。
だから、LAN側でフィルタすべき。
[ フィルタ設定例 ]
DNSリカーシブサーバを利用している場合、NetBIOSによる発呼を抑えられる
ip filter 1 reject * * udp,tcp 137-139 * ip filter 2 reject * * udp,tcp * 137-139 ip filter 100 pass * * * * * ip lan secure filter in 1 2 100※Rev.2.02.XXでshow configすると以下のように見えます。
ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 100 pass * * * * * ip lan secure filter in 1 2 100
DNSリカーシブサーバを使うとNetBIOSの機能からDNSへの発呼を抑えられない
ip filter 1 reject * * udp,tcp 137-139 * ip filter 2 reject * * udp,tcp * 137-139 ip filter 100 pass * * * * * pp select N ip pp secure filter out 1 2 100※Rev.2.02.XXでshow configすると以下のように見えます。:-)
ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 100 pass * * * * * pp select N ip pp secure filter out 1 2 100
[ 関連情報 ]
[ リリースノート ]
[ FAQ for RT-Series ]
[ FAQ for TCP/IP / files / IP-Filter / VPN(IPsec) / Intro / Install / Config ]