FAQ
DNS Firewallはどのようにバックエンドのネームサーバーを選択して上流にクエリを送信しますか?
DNS Firewallは、顧客のネームサーバーの間で交互にクエリを送信し、より速い上流のネームサーバーにクエリを送る可能性が高いアルゴリズムを使用します。
DNS Firewallは古いオブジェクトをどのくらいの期間キャッシュしますか?
DNS Firewallは、割り当てられたメモリに応じてキャッシュの寿命を設定します。
十分な割り当てメモリがある限り、CloudflareはTTLが期限切れになってもキャッシュからアイテムを強制的にクリアしません。この機能により、ネームサーバーがオフラインの場合でも、Cloudflareはキャッシュから古いオブジェクトを提供できます。
DNS FirewallはSERVFAILをキャッシュしますか?
はい。SERVFAILはキャッシュ目的のために他のネガティブな回答と同様に扱われます。デフォルトのTTLは30秒です。異なるnegative_cache_ttlを設定するには、APIを使用できます。
DNS FirewallはEDNSクライアントサブネット(ECS)をサポートしていますか?
はい。多くの場合、DNSプロバイダーは、クライアントのIPに基づいて地理的に特定のDNS回答を提供するために、EDNSクライアントサブネット(ECS)(RFC 7871 ↗)を介してクライアントのIPを確認したいと考えています。EDNSクライアントサブネットが有効になっている場合、DNS Firewallはクエリと共にクライアントのIPサブネットを上流のネームサーバーに転送します。
EDNSが有効になっていると、DNS FirewallはクライアントIPサブネットに基づいてキャッシュから地理的に正しい回答を提供します。これを行うために、DNS Firewallはキャッシュをセグメント化します。例えば:
- リゾルバーがクライアント
192.0.2.0/24の回答を探していると言います。 - DNS Firewallは、回答を得るために上流のネームサーバーにリクエストをプロキシします。
- DNS Firewallは、上流のネームサーバーからの回答をキャッシュしますが、その
/24のためだけです。 203.0.113.0/24が同じDNS質問を行い、回答はキャッシュではなく再び上流のネームサーバーから返されます。
一部のリゾルバーはEDNSデータを送信していない場合があります。ecs_fallbackパラメータをtrueに設定すると、APIを介して、DNS Firewallは、受信したDNSクエリにEDNSデータが存在しない場合にのみ、リゾルバーのIPサブネットを転送します。
DNS Firewallはネガティブな回答をキャッシュしますか?
はい。デフォルトのTTLは30秒です。negative_cache_ttlをAPIを介して設定できます。これにより、REFUSED、NXDOMAIN、またはSERVFAILのステータスを持つ応答のTTLに影響を与えます。
ネームサーバーホスト名のPTRレコードをどのように設定できますか?
割り当てられたDNS FirewallクラスタIPがあなたのネームサーバーホスト名を指すPTRレコードを持つ場合は、Cloudflareのアカウントチームにお問い合わせください。