DNSリゾルバのIPアドレスとホスト名
DNSロケーションを作成すると、GatewayはそのロケーションにIPv4/IPv6アドレスとDoT/DoHホスト名を割り当てます。これらは、Gatewayが解決するためにDNSクエリを送信するIPアドレスとホスト名です。
DNSロケーションのリゾルバエンドポイントIPアドレスとホスト名を表示するには:
- Zero Trust ↗に移動し、Gateway > DNS Locationsを選択します。
- DNSロケーションを見つけて、Configureを選択します。
- Setup instructionsに移動します。アドレスとホスト名はYour configurationに表示されます。
Gatewayは、リクエストの種類とネットワークに応じて、DNSクエリをDNSロケーションにマッチさせるために異なる方法を使用します:
flowchart TB
%% Accessibility
accTitle: GatewayがクエリをDNSロケーションにマッチさせる方法
accDescr: Cloudflare GatewayがDNSクエリのDNSロケーションを特定するために実行するチェックの順序を示すフローチャート。
%% Flowchart
router(["Router"])-->gateway["Cloudflare Gateway"]
gateway-->query{{"DNSクエリはHTTPS経由で送信されましたか?"}}
query--Yes-->hostname["ユニークホスト名でロケーションを検索<br />"]
query--"No"-->ipv4{{"IPv4経由ですか?"}}
ipv4--Yes-->source["ソースIPv4アドレスでロケーションを検索<br />"]
ipv4--"No"-->destination["宛先IPv6アドレスでロケーションを検索"]
- 最初に、GatewayはクエリがDNS over HTTPSを使用して送信されたかどうかを確認します。もしそうであれば、Gatewayはユニークホスト名でDNSロケーションを検索します。
- 次に、クエリがDNS over HTTPSで送信されていない場合、GatewayはそれがIPv4経由で送信されたかどうかを確認します。もしそうであれば、ソースIPv4アドレスでDNSロケーションを検索します。
- 最後に、クエリがIPv4経由で送信されていない場合、それはIPv6経由で送信されたことを意味します。Gatewayは、クエリに関連付けられたユニークDNSリゾルバIPv6アドレスに基づいてDNSロケーションを検索します。
DNSロケーションを作成すると、そのロケーションにはユニークなDNSリゾルバIPv6アドレスが割り当てられます。このIPv6アドレスは、GatewayがDNSクエリをロケーションにマッチさせ、適切なフィルタリングルールを適用する方法です。
Gatewayは、ネットワークのパブリックソースIPv4アドレスを使用してDNSロケーションを特定し、ポリシーを適用し、DNSリクエストをログに記録します。専用IPv4リゾルバIPを購入していない限り、DNSポリシーでフィルタリングしたいIPv4トラフィックのソースIPアドレスを提供する必要があります。そうしないと、Gatewayはトラフィックをあなたのアカウントに帰属させることができません。
DNSロケーションを作成する際、Zero Trustは自動的にあなたがいるネットワークのソースIPアドレスを特定します。
エンタープライズプランに加入している場合、任意のソースIPアドレスを手動で入力するオプションがあります。これにより、これらのネットワークのIPアドレスから接続していなくてもGateway DNSロケーションを作成できます。
IPv4経由のクエリの場合、デフォルトのDNSリゾルバIPアドレスはエニキャストIPアドレスであり、すべてのCloudflare Zero Trustアカウントで共有されています。
エンタープライズプランに加入している場合、デフォルトのエニキャストアドレスの代わりにDNSロケーション用に専用DNSリゾルバIPv4アドレスを要求できます。IPv6と同様に、そのアドレスに転送されたクエリは、専用DNSリゾルバIPv4アドレスを使用して識別されます。
リゾルバIPアドレスは、要求したZero Trustアカウントにのみ割り当てられます。専用DNSリゾルバIPv4アドレスの要求に関する詳細は、アカウントチームにお問い合わせください。
各DNSロケーションには、DNS over TLS(DoT)用のユニークなホスト名が割り当てられます。GatewayはそのDoTホスト名に基づいてあなたのロケーションを特定します。
各DNSロケーションには、DNS over HTTPS(DoH)用のユニークなホスト名が割り当てられます。GatewayはそのDoHホスト名に基づいてあなたのロケーションを特定します。
Cloudflare Zero Trustの各DNSロケーションには、ユニークなDoHサブドメイン(以前はユニークIDとして知られていました)が存在します。組織がDNSポリシーを使用している場合、WARPクライアント設定の一部としてロケーションのDoHサブドメインを入力できます。
たとえば、DoHホスト名https://65y9p2vm1u.cloudflare-gateway.com/dns-queryの場合、DoHサブドメインは65y9p2vm1uです。
デフォルトでは、構成されたDNSロケーションからのすべてのクエリは、そのDNSリゾルバIPアドレスに送信され、Gatewayによって検査されます。Gatewayを構成して、ロケーション内の特定のネットワークから発信されるクエリのみをフィルタリングすることができます:
たとえば、特定のネットワークに対するセキュリティ脅威をブロックするために、次のポリシーを作成できます:
| セレクタ | 演算子 | 値 | ロジック | アクション |
|---|---|---|---|---|
| セキュリティカテゴリ | in | 適用されるすべてのカテゴリを選択 | And | Block |
| ソースIP | in list | 組織のネットワークを含むIPリストの名前 |
IPリストに含まれていないIPアドレスから行われたDNSクエリはフィルタリングされず、組織のGatewayアクティビティログに記録されません。