平成28年 午後1 問3 設問1の(2)cの回答について
破壊神オオクニさん
(No.1)
質問になります。
タイトル通り、平成28年 午後1 問3 設問1の(2)cの回答についてなのですが、回答がDNS1となっています。
問題の表1の注記に
「スタートフルインスペクションを使用している」とあることと、項番4に DNS1 → DNS3 のポリシーがあることから
項番3の答えが DNS3 → DNS1 が答えになることに納得できていません。
※項番3がその答えなら、スターフルなので項番4の許可は不要なのでは?と思ってしまいます。
スタートフルインスペクションという言葉の意味を間違えているのでしょうか?
有識者の方教えていただきたいです。
タイトル通り、平成28年 午後1 問3 設問1の(2)cの回答についてなのですが、回答がDNS1となっています。
問題の表1の注記に
「スタートフルインスペクションを使用している」とあることと、項番4に DNS1 → DNS3 のポリシーがあることから
項番3の答えが DNS3 → DNS1 が答えになることに納得できていません。
※項番3がその答えなら、スターフルなので項番4の許可は不要なのでは?と思ってしまいます。
スタートフルインスペクションという言葉の意味を間違えているのでしょうか?
有識者の方教えていただきたいです。
2025.04.07 23:02
ベンベックマンさん
(No.2)
設問1 (3)の解答にもあるように、項番4のルールはプライマリであるDNS1からセカンダリであるDNS3に対して送られる更新通知(NOTIFYメッセージ)です。
一般的に更新通知(NOTIFYメッセージ)は、プライマリからセカンダリに対してUDP53を利用して送られますが、ゾーン転送はセカンダリからプライマリに対してTCP53を利用して送られるものです。
通信方向やプロトコルが異なるため、FWでは
・更新通知(UDP53、内部⇒DMZ)
・ゾーン転送(TCP53、DMZ⇒内部)
の通信を明確に分けるべきなのだと思います。
また、少し調べてみたのですが、RFC 1996にも、NOTIFYは「通知のみ」を目的とし、応答はACKのみと定義されているようです。
要は、DNSのNOTIFYは「通知専用のメッセージ」ということなのですね。
一般的に更新通知(NOTIFYメッセージ)は、プライマリからセカンダリに対してUDP53を利用して送られますが、ゾーン転送はセカンダリからプライマリに対してTCP53を利用して送られるものです。
通信方向やプロトコルが異なるため、FWでは
・更新通知(UDP53、内部⇒DMZ)
・ゾーン転送(TCP53、DMZ⇒内部)
の通信を明確に分けるべきなのだと思います。
また、少し調べてみたのですが、RFC 1996にも、NOTIFYは「通知のみ」を目的とし、応答はACKのみと定義されているようです。
要は、DNSのNOTIFYは「通知専用のメッセージ」ということなのですね。
2025.04.08 20:44
ベンベックマンさん
(No.3)
補足ですが、ステートフルインスペクション機能により、
・更新通知(UDP53、内部⇒DMZ)
・ゾーン転送(TCP53、DMZ⇒内部)
の二つで済んでいます。
スレ主様の質問文を読む限り、ステートフルインスペクションの理解に誤りはないと思います。
・更新通知(UDP53、内部⇒DMZ)
・ゾーン転送(TCP53、DMZ⇒内部)
の二つで済んでいます。
スレ主様の質問文を読む限り、ステートフルインスペクションの理解に誤りはないと思います。
2025.04.08 21:08
boyonboyonさん
(No.4)
この投稿は投稿者により削除されました。(2025.04.08 21:28)
2025.04.08 21:28
boyonboyonさん
(No.5)
更新通知は、プライマリ発→セカンダリ
ゾーン情報をリフレッシュする周期が来たときは、セカンダリ発→プライマリ
(プライマリにゾーン転送の要求)
どちらからも通信が発生するので、両方向とも許可設定すると思います。
ゾーン情報をリフレッシュする周期が来たときは、セカンダリ発→プライマリ
(プライマリにゾーン転送の要求)
どちらからも通信が発生するので、両方向とも許可設定すると思います。
2025.04.08 21:32
破壊神オオクニさん
(No.6)
お二方ともありがとうございます。
確かにFWの項目としてTCP/UDPについては記載がないので、通信の種類によってルールを分けるべきですね。
仮に、
表1の項目としてTCP/UDPを設定する場合
項番4 DNS1 → DNS3 UDP(更新通知)
項番5 DNS1 → DNS3 TCP(ゾーン転送)
というルールがあった場合、
項番3 DNS3 → DNS1 TCP (ゾーン転送)
↑のルールはステートフルのため不要となる認識であっていますか?
ひとまず疑問は解決できましたので、
重ねてありがとうございます。
確かにFWの項目としてTCP/UDPについては記載がないので、通信の種類によってルールを分けるべきですね。
仮に、
表1の項目としてTCP/UDPを設定する場合
項番4 DNS1 → DNS3 UDP(更新通知)
項番5 DNS1 → DNS3 TCP(ゾーン転送)
というルールがあった場合、
項番3 DNS3 → DNS1 TCP (ゾーン転送)
↑のルールはステートフルのため不要となる認識であっていますか?
ひとまず疑問は解決できましたので、
重ねてありがとうございます。
2025.04.08 23:05
ベンベックマンさん
(No.7)
>ステートフルのため不要となる認識であっていますか?
はい、不要です。
ただ、そもそもゾーン転送がセカンダリ契機で発生する通信のため、項番5が不要という表現の方が適切です。ステートフルインスペクション機能は応答パケットを許可するものですので。
2025.04.08 23:47
破壊神オオクニさん
(No.8)
>ただ、そもそもゾーン転送がセカンダリ契機で発生する通信のため、項番5が不要という表現の方が適切です。
確かにその通りですね。
ありがとうございました。
2025.04.09 11:57