フォワーダー ふぉわーだー
DNS名前解決リゾルバーキャッシュサーバーフォワーディング再帰問い合わせ
フォワーダーについて教えて
簡単に言うとこんな感じ!
フォワーダーは「DNS問い合わせの取り次ぎ役」だよ!自分で調べる代わりに「この件はあっちのDNSサーバーに聞いて!」って転送(フォワード)するんだ。社内ネットワークで「外のことはプロバイダーのDNSに丸投げ」する設定がまさにこれってこと!
フォワーダーとは
フォワーダー(Forwarder) とは、DNSサーバーが名前解決(ドメイン名をIPアドレスに変換する処理)を自分で行わず、別の指定したDNSサーバーに問い合わせを転送(フォワード)する仕組み、またはその転送先サーバーのことを指します。
たとえば社内に立てたDNSサーバーが「google.com」を聞かれたとき、自分でインターネット上のルートサーバーから順番に辿るのではなく、「この件はISP(インターネットサービスプロバイダー)やGoogle Public DNSに聞いて」と処理を委ねるのがフォワーダーの動きです。転送元のDNSサーバー側の設定をフォワーディング設定、転送先として指定されたサーバーをフォワーダーと呼ぶことが多いです。
フォワーダーを使うと、外部への問い合わせを一本化できるため、セキュリティポリシーの集約、キャッシュ効率の向上、社内ネットワークからの通信制御が容易になります。企業ネットワークやオフィス環境では非常によく使われる構成です。
フォワーダーの仕組みと動作フロー
通常のDNS再帰問い合わせとフォワーディングを比較すると、動きの違いが明確になります。
通常の再帰問い合わせ vs フォワーディング
| 項目 | 通常の再帰問い合わせ | フォワーダーを使う場合 |
|---|---|---|
| 問い合わせの流れ | キャッシュサーバー→ルート→TLD→権威サーバー | キャッシュサーバー→フォワーダー→(以降フォワーダーが解決) |
| 外部通信の主体 | 自分自身 | フォワーダー(転送先)が担う |
| 設定の複雑さ | ルートヒントが必要 | 転送先IPアドレスを指定するだけ |
| キャッシュ効率 | 自サーバーのみ | フォワーダー側のキャッシュも活用 |
| セキュリティ制御 | 自サーバーで全トラフィック管理 | フォワーダー経由に一本化しやすい |
フォワーディングの動作フロー
フォワーダーの種類
| 種類 | 説明 | 使いどころ |
|---|---|---|
| デフォルトフォワーダー | すべての外部問い合わせを転送 | 社内DNS→ISP・パブリックDNS |
| 条件付きフォワーダー(Conditional Forwarder) | 特定ドメインだけを指定サーバーへ転送 | グループ会社・クラウド環境との名前解決 |
| スタブゾーン(Stub Zone) | 転送先の権威情報のみ保持する軽量構成 | ドメイン管理を細かく分けたい場合 |
歴史と背景
- 1983年 — DNSが設計される(RFC 882/883)。当初から「問い合わせを別サーバーへ委譲する」概念が含まれていた
- 1987年 — RFC 1034/1035 でDNSの基本仕様が整備。再帰問い合わせ(Recursive Query) の概念が明確化
- 1990年代 — インターネット普及とともに企業内DNSが普及。ファイアウォール越しの名前解決ニーズが高まり、フォワーダー設定が一般的に
- 2000年代 — ISPが顧客向けに大型キャッシュDNSを整備。フォワーダーとして広く利用される構成が定着
- 2010年代 — Google Public DNS(8.8.8.8)、Cloudflare DNS(1.1.1.1)など パブリックDNS が登場。フォワーダーの転送先として多く採用される
- 2020年代 — DNS over HTTPS(DoH)・DNS over TLS(DoT)の普及により、暗号化されたフォワーダー経路 が一般化。クラウド環境でも条件付きフォワーダーが標準的なハイブリッド構成として使われる
フォワーダーと関連構成の比較
企業ネットワーク設計では、フォワーダーと似た概念がいくつか存在します。整理しておくと発注・設計の議論がしやすくなります。
| 構成 | 役割 | 特徴 |
|---|---|---|
| フォワーダー(Forwarder) | 問い合わせを転送する | 転送先が解決の主体。シンプルで設定が楽 |
| キャッシュサーバー(フルリゾルバー) | 自分でルートから辿って解決 | ルートヒントが必要。独立性が高い |
| 権威DNSサーバー | 自ドメインの情報を持つ | 問い合わせに「最終回答」を返す役割 |
| 条件付きフォワーダー | 特定ドメインだけ別サーバーへ転送 | マルチドメイン・ハイブリッド環境で必須 |
| DNSプロキシ | 問い合わせを中継(ルーターなど) | 家庭用ルーターに多い。機能は限定的 |
よくある企業構成の例
社内PC
│ ①問い合わせ(例: google.com)
▼
社内DNSサーバー(Windows Server / BIND など)
│ ②フォワーディング設定で転送
▼
フォワーダー(8.8.8.8 / 1.1.1.1 / ISP DNS)
│ ③再帰問い合わせでフルリゾルブ
▼
権威DNSサーバー(google.comを管理)条件付きフォワーダーを使うと、社内ドメインと外部ドメインを振り分けられます:
問い合わせ先による振り分け例
corp.example.local → 社内のActive Directoryサーバー(192.168.1.10)
aws.example.com → AWS Route 53 リゾルバー(10.0.0.2)
その他 → デフォルトフォワーダー(8.8.8.8)セキュリティ観点での注意点
フォワーダーの設定はセキュリティに直結します。確認すべき主なポイントは以下の通りです。
| リスク | 内容 | 対策 |
|---|---|---|
| DNSハイジャック | 悪意あるフォワーダーを設定された場合、偽の名前解決が行われる | 信頼できるDNSのみ転送先に設定 |
| 情報漏洩 | 社内ホスト名が外部フォワーダーのログに記録される | 条件付きフォワーダーで社内ドメインは分離 |
| DNS増幅攻撃 | オープンリゾルバー(誰でも使えるDNS)はDDoS攻撃に悪用される | 転送・問い合わせの送信元IPを制限する |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 1034 | DNSの概念と機能の定義。再帰問い合わせ・委任の基本仕様 |
| RFC 1035 | DNSの実装・メッセージフォーマット仕様 |
| RFC 5625 | DNSプロキシ実装のガイドライン(ルーターなどの中継装置向け) |
| RFC 7858 | DNS over TLS(DoT)。暗号化されたフォワーダー通信の仕様 |
| RFC 8484 | DNS over HTTPS(DoH)。HTTPSを使ったDNS問い合わせの仕様 |
関連用語
- DNS(ドメインネームシステム) — ドメイン名をIPアドレスに変換するインターネットの根幹システム
- キャッシュDNSサーバー — クライアントの代わりに名前解決を行い、結果をキャッシュするサーバー
- 権威DNSサーバー — 特定ドメインの正式なレコードを保持し最終回答を返すサーバー
- 再帰問い合わせ — DNSサーバーがクライアントの代わりに複数サーバーを辿って解決する問い合わせ方式
- 条件付きフォワーダー — 特定ドメインだけを指定のDNSサーバーへ転送する設定
- DNS over HTTPS(DoH) — DNSクエリをHTTPS通信で暗号化するプロトコル
- パブリックDNS — 誰でも使えるGoogle(8.8.8.8)やCloudflare(1.1.1.1)などの外部DNSサービス
- ゾーン転送 — 権威DNSサーバー間でゾーン情報を複製する仕組み