翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
DNS Firewall のルールアクション
DNS Firewall は、ルール内でDNSクエリとドメイン仕様の一致を検出すると、ルールで指定されたアクションをクエリに適用します。
作成する各ルールで、次のオプションのいずれかを指定する必要があります:
-
Allow — クエリの調査を停止し、通過を許可します。
-
Alert— クエリの調査を停止し、通過を許可して、Route 53 Resolver ログにクエリのアラートを記録します。
-
Block — クエリの調査を中断し、目的の送信先への送信をブロックして、Route 53 Resolver ログにそのクエリのブロックアクションを記録します。
次のように、設定されたブロックレスポンスで応答します。
-
NODATA - クエリが成功したことを示す応答がありますが、それに対して利用可能になったという応答はありません。
-
NXDOMAIN— クエリのドメイン名が存在しないことを示す応答。
-
OVERRIDE — レスポンスにカスタムオーバーライドを指定します。このオプションには、次の設定が必要です。
-
Record value– クエリに応答して返送するカスタムDNSレコード。
-
Record type– DNSレコードのタイプ。これによりレコード値の形式が決定します。これは、
CNAME
である必要があります。 -
Time to live in seconds– リDNSゾルバーまたはウェブブラウザがオーバーライドレコードをキャッシュし、再度受信された場合にこのクエリへの応答に使用する推奨時間。デフォルトではこの値はゼロであり、レコードはキャッシュされません。
-
-
クエリログの設定と内容の詳細については、「リゾルバーでのクエリのログ記録」および「Resolver クエリログに表示される値」を参照してください。
Alert を使用してブロックルールをテストする
ブロックルールを初めて作成する際は、アクションを Alert に設定して、ブロックルールをテストします。次に、ルールが警告するクエリの数を調べて、アクションを Block に設定した場合にブロックされるクエリの数を確認します。