FWBuilder DNSオブジェクトランタイム-DNS名を正確に解決するのはいつですか?
Firewall Builderで、DNSオブジェクトを使用して実行時に設定すると、ファイアウォール(この場合はiptables)が実際にDNS名を解決するのはいつですか?
- ファイアウォールでそのDNS名が呼び出されるたびですか?それで、誰か/何かがそのDNS名にアクセスしようとするときはいつでも、ファイアウォールはその場で名前を解決しますか?
- それとも、fwスクリプトを実行してルールをiptablesにロードするときですか?したがって、この場合、DNS名を一度解決してから、結果のIPアドレスをiptableルールにハードコーディングしますか?
私が読んだことから、私はその#1だと思いますが、それは私には100%明確ではありません。ネットワーク上の特定の機能のために2つのサーバーがあります。 1つはプライマリサーバーで、もう1つはバックアップです。
alpha0.domain.com
alpha1.domain.com
DNSには次のものがあります。
alpha.domain.com -> alpha0.domain.com
プライマリサーバーがダウンし、バックアップに切り替える必要がある場合は、代わりにalpha1.domain.comを指すようにローカルDNSレコードを変更します。
ファイアウォールに戻って、ドメインオブジェクトをalpha.domain.comとして入力した場合、バックアップアルファサーバーに切り替えてDNSレコードを変更するたびに、ファイアウォールルールを再読み込みする必要がありますか?または、切り替え後もファイアウォールは自動的に正しいアドレスに解決されますか?
iptablesはIPアドレスのみを扱います。 iptablesルールでDNS名を指定すると、iptablesユーザースペースプログラムは1回のルックアップを実行し、IPアドレスをカーネルにロードします。
fwbuilderは、生成するルールセットにIPアドレス(コンパイル時)またはDNS名(実行時)のいずれかを出力します。しかし、それはiptablesがDNS名の1回限りのルックアップのみを行うという事実を変更しません。
したがって、毎回ルールをリロードする必要があります。