目次
| 対象機種 | ☑ AG10 ☑ AG20 ☑ AR10 ☑ AR20 ☑ AC10 ☑ AC15 ☑ AC25 ☑ AX11 ☑ AX21 ☑ AX30 ☐ AB11 ☐ AB12 |
| ファームウェアバージョン | N/A |
質問
デフォルトポリシーを drop に設定したところ、DNS による名前解決ができなくなりました。対処方法を教えてください。
回答
デフォルトポリシーを drop に設定した場合は、DNS 通信で使用するポートを明示的に accept に設定する必要があります。
デフォルトポリシーが drop の場合、許可ルールに一致しないパケットはすべて破棄されます。そのため、DNS 通信を許可するフィルタを追加してください。
ℹ️ 補足: DNS は通常 UDP を使用しますが、応答サイズが大きい場合などは TCP が使用されることがあります。
DNS の通信の流れ
DNS の問い合わせでは、クライアントはランダムなソースポートを使用し、宛先ポート 53 に送信します。
| DNS 問い合わせ (Query) | ソースポート | 宛先ポート | データ |
|---|---|---|---|
| クライアント → DNS サーバー | nnnn(1024 以上のランダムな値) | 53 | DNS Query(例:www.amnimo.com) |
DNS の応答では、DNS サーバーのソースポートが 53 となり、宛先ポートは問い合わせ時に使用したランダムなポート番号になります。
| DNS 応答 (Response) | ソースポート | 宛先ポート | データ |
|---|---|---|---|
| DNS サーバー → クライアント | 53 | nnnn | DNS Response(例:211.2.xxx.xx) |
このため、送信元ポート 53 と宛先ポート 53 の両方を許可するフィルタが必要です。
設定例
以下のフィルタを追加して、UDP のポート 53 を許可します。
admin@amnimo:~$ amsh amnimo$ enable password: amnimo# configure amnimo(cfg)# filter input 10 amnimo(cfg-fin-10)# policy accept amnimo(cfg-fin-10)# match protocol udp src-port 53 amnimo(cfg-fin-10)# enable amnimo(cfg-fin-10)# exit amnimo(cfg)# filter input 20 amnimo(cfg-fin-20)# policy accept amnimo(cfg-fin-20)# match protocol udp dst-port 53 amnimo(cfg-fin-20)# enable amnimo(cfg-fin-20)# exit amnimo(cfg)# exit amnimo# config file save amnimo# exit amnimo$ exit
コメント
0件のコメント
サインインしてコメントを残してください。