機種: FortiGate 50E
ファームウェア: 6.2.15
FortiGate をローカルネットワーク向けDNSサーバとして設定する方法を紹介します
「DNSサーバ」をメニューに表示させる
FortiGate 初期状態ではメニューに、項目「DNSサーバ」が表示されておらず GUI では設定することができません
GUI 設定を進めるには「DNSサーバ」という項目をメニューに表示させます
「システム」 → 「表示機能設定」をクリック
「DNSデータベース」をオンにします
FortiGate ユニットをローカルネットワーク向けの DNS サーバとして設定します。
ローカル DNS エントリを DNS データベースに追加して、その他の DNS ルックアップを外部 DNS サーバに転送することができます。
ネットワーク > DNSサーバ からDNSデータベースを管理します。
任意で DNS フィルタプロファイル(セキュリティプロファイル > DNS フィルタ)を設定し、FortiGate インターフェース上の DNS サーバに追加してください。
「適用」をクリックし、設定を反映させます
「DNSサーバ」という項目が「ネットワーク」メニュー配下に表示されます
FortiGateをDNSサーバとして設定する
「DNSサーバ」をクリックし、
インターフェース上のDNSサービス欄にある「新規作成」をクリックします
DNSサーバとして動作させるインターフェースを選択します
モードは「システム設定DNSへ転送」を選択します
「OK」をクリックします
「ハードウェアスイッチ(lan)」インターフェースがローカルネットワーク向けDNSサーバとして設定されました
以上で、設定は完了です。
モード説明
ForiGate を DNSサーバとして設定する際に選択可能な 3 つの「モード」について説明します
システム設定DNSへ転送
システム設定DNSへ転送
https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/960561/fortigate-dns-server
ローカル DNS データベースはバイパスされ、すべてのクエリはシステムの DNS サーバーに直接転送されます。これは、クエリの解決をシステムレベルの DNS リソースのみに依存する必要がある場合に利用します。
FortiGate はDNSフォワーダ(DNSプロキシ)のように動作します
モード「システム設定DNSへ転送」を選択した場合は「DNS」設定で指定したDNSサーバへ転送されます
再帰的
再帰的
https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/960561/fortigate-dns-server
システムはまず、シャドウ DNS データベースで要求されたレコードをチェックします。レコードがローカルで見つからない場合、クエリはシステムの DNS サーバーに転送され、さらに検索が行われます。このモードでは、ローカル DNS リソースとシステム DNS リソースの両方を利用して、要求されたレコードを包括的に検索できます。
FortiGate はフルサービスリゾルバ(キャッシュDNSサーバ)のように動作します
シャドウ
https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/960561/fortigate-dns-server
このタイプの DNS ゾーンは、内部クライアントと外部クライアントの両方向けに設計されており、FortiGate 上の再帰 DNS サーバを使用して DNS クエリを解決できます。プライベートネットワーク内にパブリック DNS レコードのシャドウが作成されます。
非再帰的
非再帰的
検索はパブリック DNS データベースのみに制限されます。要求されたレコードが見つからない場合、クエリはシステムの DNS サーバーに転送されません。このモードは、クエリをローカルリソースに厳密に制限する必要がある場合に利用します。
FortiGate は権威DNSサーバ(コンテンツDNSサーバ)のように動作します
パブリック
https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/960561/fortigate-dns-server
このタイプの DNS ゾーンは、外部クライアントのみにサービスを提供することを目的としており、外部クライアントが FortiGate 上の非再帰 DNS サーバーを使用して DNS クエリを解決できるようにします。このゾーンには、一般アクセスが可能なサービスのドメイン名をそれぞれの IP アドレスにマッピングするレコードが含まれています。これらのレコードはインターネット全体に伝搬されるため、世界中の誰もがサービスを見つけて接続できるようになります。
CLIでDNSサーバを設定する
DNSサーバ設定を、CLI で行う場合のコマンド例を紹介します
DNSサーバ設定を確認する
show system dns-server
GT-50E-CLI-STUDY # show system dns-server
config system dns-server
edit "lan"
set mode forward-only
next
endFortiGateをDNSサーバとして動作させる
「ハードウェアスイッチ(lan)」インターフェースをDNSサーバとして動作させる例です
構文config system dns-server
edit
set dnsfilter-profile {string}
set mode {recursive | non-recursive | forward-only}
next
end
コマンド例↓
FGT-50E-CLI-STUDY # show system dns-server
config system dns-server
end
FGT-50E-CLI-STUDY # config system dns-server
FGT-50E-CLI-STUDY (dns-server) # edit lan
new entry 'lan' added
FGT-50E-CLI-STUDY (lan) # show
config system dns-server
edit "lan"
next
end
FGT-50E-CLI-STUDY (lan) # set mode forward-only
FGT-50E-CLI-STUDY (lan) # show
config system dns-server
edit "lan"
set mode forward-only
next
end
FGT-50E-CLI-STUDY (lan) # end
FGT-50E-CLI-STUDY # show system dns-server
config system dns-server
edit "lan"
set mode forward-only
next
end
FGT-50E-CLI-STUDY # DNSサーバとして動作させるインターフェイスを変更する
DNSサーバとして動作させていたインターフェースを「ハードウェアスイッチ(lan)」から「lan5」に変更する例です
構文config system dns-server
edit
set dnsfilter-profile {string}
set mode {recursive | non-recursive | forward-only}
next
end
コマンド例↓
FGT-50E-CLI-STUDY # show system dns-server
config system dns-server
edit "lan"
set mode forward-only
next
endFGT-50E-CLI-STUDY # config system dns-server
FGT-50E-CLI-STUDY (dns-server) # delete lan
FGT-50E-CLI-STUDY (dns-server) # show
config system dns-server
end
FGT-50E-CLI-STUDY (dns-server) # edit lan5
new entry 'lan5' added
FGT-50E-CLI-STUDY (lan5) # set mode forward-only
FGT-50E-CLI-STUDY (lan5) # show
config system dns-server
edit "lan5"
set mode forward-only
next
end
FGT-50E-CLI-STUDY (lan5) # end
FGT-50E-CLI-STUDY # show system dns-server
config system dns-server
edit "lan5"
set mode forward-only
next
end
FGT-50E-CLI-STUDY #
