FortiGateをローカルNW向けDNSサーバとして設定する方法

プロモーションを含みます
プロモーションを含みます
環境

機種: FortiGate 50E
ファームウェア: 6.2.15

てこ
てこ

FortiGate をローカルネットワーク向けDNSサーバとして設定しようとしても、最初はメニューに項目が表示されておらず GUI では設定することができません

てこ
てこ

設定を進めるには「DNSサーバ」という項目をメニューに表示させます

「DNSサーバ」をメニューに表示させる

てこ
てこ

「システム」 → 「表示機能設定」をクリック

てこ
てこ

「DNSデータベース」をオンにします

DNSデータベースの説明

FortiGate ユニットをローカルネットワーク向けの DNS サーバとして設定します。

ローカル DNS エントリを DNS データベースに追加して、その他の DNS ルックアップを外部 DNS サーバに転送することができます。

ネットワーク > DNSサーバ からDNSデータベースを管理します。
任意で DNS フィルタプロファイル(セキュリティプロファイル > DNS フィルタ)を設定し、FortiGate インターフェース上の DNS サーバに追加してください。

てこ
てこ

「適用」をクリックし、設定を反映させます

てこ
てこ

「DNSサーバ」という項目が「ネットワーク」配下に表示されます

FortiGateをDNSサーバとして設定する

てこ
てこ

「DNSサーバ」をクリックし、
インターフェース上のDNSサービス欄にある「新規作成」をクリックします

てこ
てこ

DNSサーバとして動作させるインターフェースを選択します
モードは「システム設定DNSへ転送」を選択します

てこ
てこ

「OK」をクリックします

ここでは、DNSサーバとして動作させるインターフェースとして「ハードウェアスイッチ(lan)」を選択しています。

てこ
てこ

「ハードウェアスイッチ(lan)」インターフェースがローカルネットワーク向けDNSサーバとして設定されました

モードの説明

システム設定DNSへ転送

システム設定DNSへ転送
ローカル DNS データベースはバイパスされ、すべてのクエリはシステムの DNS サーバーに直接転送されます。これは、クエリの解決をシステムレベルの DNS リソースのみに依存する必要がある場合に利用します。

https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/960561/fortigate-dns-server
てこ
てこ

モードを「システム設定DNSへ転送」にした場合は「DNS」で設定したDNSサーバへ転送されます

再帰的

再帰的
システムはまず、シャドウ DNS データベースで要求されたレコードをチェックします。レコードがローカルで見つからない場合、クエリはシステムの DNS サーバーに転送され、さらに検索が行われます。このモードでは、ローカル DNS リソースとシステム DNS リソースの両方を利用して、要求されたレコードを包括的に検索できます。

https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/960561/fortigate-dns-server

シャドウ
このタイプの DNS ゾーンは、内部クライアントと外部クライアントの両方向けに設計されており、FortiGate 上の再帰 DNS サーバを使用して DNS クエリを解決できます。プライベートネットワーク内にパブリック DNS レコードのシャドウが作成されます。

https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/960561/fortigate-dns-server

非再帰的

非再帰的
検索はパブリック DNS データベースのみに制限されます。要求されたレコードが見つからない場合、クエリはシステムの DNS サーバーに転送されません。このモードは、クエリをローカルリソースに厳密に制限する必要がある場合に利用します。

パブリック
このタイプの DNS ゾーンは、外部クライアントのみにサービスを提供することを目的としており、外部クライアントが FortiGate 上の非再帰 DNS サーバーを使用して DNS クエリを解決できるようにします。このゾーンには、一般アクセスが可能なサービスのドメイン名をそれぞれの IP アドレスにマッピングするレコードが含まれています。これらのレコードはインターネット全体に伝搬されるため、世界中の誰もがサービスを見つけて接続できるようになります。

https://docs.fortinet.com/document/fortigate/7.4.3/administration-guide/960561/fortigate-dns-server

CLIでDNSサーバを設定する

DNSサーバ設定を確認する

コマンド

show system dns-server

FortiGateをDNSサーバとして動作させる

てこ
てこ

「ハードウェアスイッチ(lan)」インターフェースをDNSサーバとして動作させる例です

構文
config system dns-server
edit
set dnsfilter-profile {string}
set mode {recursive | non-recursive | forward-only}
next
end

DNSサーバとして動作させるインターフェイスを変更する

てこ
てこ

DNSサーバとして動作させていたインターフェースを「ハードウェアスイッチ(lan)」から「lan5」に変更する例です

構文
config system dns-server
edit
set dnsfilter-profile {string}
set mode {recursive | non-recursive | forward-only}
next
end
この記事を書いた人
てこ

ITインフラエンジニアのアウトプットブログ。
IT技術やWindows Tips、ガジェットレビューなどを書いてます。
当サイトはリンクフリーです。

written by Terra Yuuki
PR
FortiGate
てこエンジニアブログ