DNS サーバーとしての NxFilter
NxFilter は基本的にフィルタリング機能を持つフォワーディング、キャッシュ DNS サーバです。また
DNS サーバーとしても使用できます。
権威DNSサーバ
NxFilter を権威 DNS サーバとして使用できます。
1. Zone File
BINDと同じ形式のゾーンファイルを使用します。あるドメインのゾーンファイルを DNS > Zone File.
GUIで編集することで、DNSゾーンにホストを追加することができます。
2. Clustering
NxFilter のクラスタを構築すると、スレーブノードもマスターノードからの設定で権威 DNS サーバとして動作します。
として動作します。冗長性のためにセカンダリDNSサーバを設定する必要はありません。
すでにクラスタ化されています。
インターネット上で実行
NxFilter は認証機能付きの DNS フィルタなので、これを認証 DNS サーバとして使用する場合、いくつかの注意点があります。
サーバーとして使用する場合、いくつかのことを考慮する必要があります。
- 認証
特に NxFilter をインターネット上に置く場合は、DNS 攻撃の標的にならないように、認証を有効にする必要があります。
DNS 攻撃のターゲットにならないようにするためである。しかし問題は、認証を有効にした場合です、
匿名ユーザーからの DNS クエリは NxFilter のログページにリダイレクトされます。
ドメインに対する匿名の DNS クエリを許可するには、ドメインの認証をバイパスする必要があります。
- フィルタリング
DNSフィルタであるため、NxFilterは何らかの理由であなたのドメインをブロックするかもしれません。これは
の解決に失敗します。このような問題を避けるには
自分のドメインのフィルタリングをバイパスする必要があります。
- ログデータが多すぎます。
DNS攻撃の結果、ドメインのログデータが多すぎる可能性があります。ドメインのログをバイパスする方がよいかもしれない。
をバイパスしたほうがよいかもしれません。
必要なバイパスオプションを使ってドメインのホワイトリストを作成できますが、GUIで作成したゾーンファイルでも可能です。
GUIで作成したゾーンファイルにもバイパスオプションがあります。
DNS攻撃を受けている場合
NxFilter をクラウド上に置いた場合、DNS 攻撃を受ける可能性がある。DNS 攻撃を受けると
サーバーに大量のトラフィックが発生します。NxFilter はすべてのトラフィックを処理することができず、最終的にはほとんど死んでいるように見えます。
のような状態になり、'Queue full' というエラーログが表示されます。
このような問題を避けるには、DNS サーバーを隠して、攻撃者に反応しないようにするのが一番です。 このような攻撃者から NxFilter を隠すには、まず認証を有効にします。NxFilter は未知のユーザーからの DNS クエリに応答します。 に応答します。
しかし、このような攻撃者は、DNS サーバーが攻撃対象であると考えるかもしれません。このような攻撃者から完全に隠すには これらの未知のユーザーからのパケットを静かにドロップする必要がある。このためには、「ログイン・リダイレクトを無効にする」を有効にする を有効にします。 System > Setup を有効にすると、NxFilter はこれらの攻撃者からのパケットをドロップします。
DNS攻撃対策について詳しくは DNS攻撃を防ぐ.
ローカル再帰サーバーの実行
NxFilterと同じマシン上でMaraDNSやUnboundのようなローカルの再帰DNSサーバを動作させたい場合があります。
それを高速化したい人もいれば、公開DNSサーバやインターネットから自分自身を隠したい人もいます。
を隠したい人もいます。
ローカルで再帰DNSサーバを実行する場合、ポート衝突の問題が発生する可能性があります。 そのため、再帰DNSサーバーのポート番号を変更する必要があります。ポート番号を ポート番号を5353のような非標準のものに変更した後、アップストリームDNSサーバーのポート番号を DNS > Setup 0x030
ex) 127.0.0.1:5353
Upstream DNS Serverパラメータにポート番号を指定する場合は DNS > Setup NxFilter および NxCloud の v4.3.9.1 以降。