JP2015173381A - 中継装置 - Google Patents
中継装置 Download PDFInfo
- Publication number
- JP2015173381A JP2015173381A JP2014048686A JP2014048686A JP2015173381A JP 2015173381 A JP2015173381 A JP 2015173381A JP 2014048686 A JP2014048686 A JP 2014048686A JP 2014048686 A JP2014048686 A JP 2014048686A JP 2015173381 A JP2015173381 A JP 2015173381A
- Authority
- JP
- Japan
- Prior art keywords
- dns
- address
- relay device
- packet
- side interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】LAN側インターフェースから受信したDNSクエリーパケットをWAN側インターフェースに転送するとともに、当該DNSクエリーパケットを解析して、当該中継装置自身を指定するDNSクエリーパケットであれば、当該中継装置自身のIPアドレスを含むDNSレスポンスをDNSクエリーパケットの送信元アドレス宛に返送し、その返送に前後して、WAN側インターフェースから受信した該当するDNSレスポンスを遮断する。
【選択図】図9
Description
LAN側インターフェースと、WAN側インターフェースと、それらの間を中継するL3ブリッジ部とを有する中継装置であって、
LAN側インターフェースから受信したDNSクエリーパケットをWAN側インターフェースに転送するとともに、当該DNSクエリーパケットを解析し、解析した結果、当該中継装置自身を指定するDNSクエリーパケットであれば、当該中継装置自身のIPアドレスを含むDNSレスポンスをDNSクエリーパケットの送信元アドレス宛に返送し、その返送に前後して、WAN側インターフェースから受信する外部のDNSサーバから返送された当該DNSクエリーパケットに対するDNSレスポンスを遮断する、中継装置により上記の課題を解決したのである。
一方で、パケットを全て止めた上で解析するのではなく、基本的に全てのパケットをWAN側に転送することで、スループットの低下を防ぐものとする。並行して、DNSクエリーパケットについてはパケットを内部にコピーすることで、その応答がWAN側インターフェースの先にあるDNSサーバから戻ってくる間に、当該DNSクエリーパケットの解析と必要に応じた応答を進めてしまうことができる。そして、当該DNSクエリーパケットが中継装置自身を指定するものであれば、WAN側インターフェースの先にあるDNSサーバはDNSレスポンスとしてエラーを返すが、これを中継装置が遮断することで、LAN側の端末にエラー情報が届くことを防ぎ、中継装置自身が送ったIPアドレスのみが伝わることになる。
LAN側インターフェースと、WAN側インターフェースと、それらの間を中継するL3ブリッジ部とを有する中継装置であって、
DNSクエリーパケットを処理するDNS処理部と、
中継装置を通過するDNSクエリーパケットのうち、中継装置自身を指定したパケットのドメインを記録して、当該DNSクエリーパケットに対するDNSレスポンスを遮断するロック状態である情報を保持するアドレスロックテーブルと、
上記アドレスロックテーブルにおいてロック状態にあるドメインの記録が一つも存在しなければ通過を許可する値とし、ロック状態にあるドメインの記録が一つ以上存在すれば通過を制限する値とするスイッチテーブルと、
を有する中継装置とし、
上記L3ブリッジ部は、
上記LAN側インターフェースから受信したDNSクエリーパケットを上記WAN側インターフェースに転送するとともに、当該DNSクエリーパケットをコピーして上記DNS処理部へ受け渡す、クエリー中継コピー手段と、
上記WAN側インターフェースからDNSレスポンスを受信した際に、当該DNSレスポンスに含まれるドメインが上記アドレスロックテーブルに記録されたロック状態である情報に該当すれば当該DNSレスポンスのパケットを破棄する該当パケット破棄手段と、
上記中継装置自身の名前の解決を要求するDNSクエリーパケットの送信元アドレスへ、上記中継装置自身のアドレスを含むDNSレスポンスを送信する自己アドレス通知手段と、
上記WAN側インターフェースからDNSレスポンスを受信した際に、上記スイッチテーブルを参照するスイッチ確認手段と、
上記スイッチテーブルが通過を許可する値であれば当該DNSレスポンスを速やかにL3ブリッジしてLAN側インターフェースに転送するスイッチ参照転送手段と、
を有し、
上記DNS処理部は、
受け取ったDNSクエリーパケットが中継装置自身のアドレスを解決するためのものであるか否かを判断するクエリー判断手段と、
上記クエリー判断手段で中継装置自身のアドレス解決のためであると判断されたDNSクエリーパケットの送信元アドレスへ、中継装置自身のIPアドレスを含むDNSの名前を解決するDNSレスポンスを生成する自己アドレス指定手段と、
上記アドレスロックテーブルに、上記クエリー判断手段で中継装置自身のアドレス解決のためであると判断されたDNSクエリーパケットのドメインを記録してロック状態とするロックドメイン記録手段と
上記アドレスロックテーブルの記録のうち、遮断の必要がなくなったドメインについて、上記ロック状態を解除するロック解除手段を有する
中継装置によって、実現可能である。
この発明は、LANとWANとの間に設けられる中継装置である。基本的には一般家庭や小規模事業者などのLANにおいて用いられるホームゲートウェイとして利用可能な中継装置を対象とする。すなわち、大規模ネットワークで用いるような高度な演算能力を備えた中継装置ではない。中継装置としては、L3スイッチとして動作する際には、基本的にはルーティングやアドレス変換などの処理を行わないものである。ただし、これらの機能を備えたルータが設定変更によりL3スイッチとして動作するモードに切り替え可能である場合に、本発明にかかる中継装置に含まれる。このような設定変更をLAN側から行えるようにするための発明である。
また、リクエストドメインは単数であることも多いが、例えば中継装置1が対応するサービスごとに異なるドメインを自身に割り当てる場合などには、複数種類のドメインが中継装置1自身を示すアドレスとしてテーブルに並ぶ。
さらに、画面表示に対してクリックが連発された場合や、複数の端末2から1分程度以下の短時間に中継装置1自身を指定するDNSクエリーパケットが送信された場合など、同一のドメインについての問い合わせが並行して中継装置1を通過した場合に、それぞれのDNSクエリーパケットに対してDNSレスポンスが来るため、通過した当該DNSクエリーパケットに対するDNSレスポンスのそれぞれをカウントしてロックの設定と解除ができるように、ロック回数をカウントしておくと好ましい。また、DNSクエリーパケットがUDPで送られた場合、DNSサーバ3からの返答が無い場合もあるため、タイムアウトする時間を経過したらロックを解除できるようにしておく。このタイムアウト時刻は、例えば一のドメイン名について最後のリクエストが到着してから1分後にして、その時間を経過したらエントリを削除するという方式が挙げられる。また、予め定めた秒数をデクリメントしていく方式でもよい。
まず(S101)、LAN側インターフェース21からパケットを受信したL3ブリッジ部11は(S102)、取得したパケットのL3レイヤを確認するL3レイヤ確認手段116を実行する(S103)。このL3レイヤ確認手段として、次のS104及びS106を行う。まず、L3レイヤのアドレスが、中継装置1自身を示すIPアドレスであるか否かを判断する(S104)。中継装置1自身を示すIPアドレスであれば(S104−Yes)、下記の一連の手順を経てDNSの名前の解決がされた後に直接に端末2からアクセスされたパケットであるため、ポート番号に応じて自身の各モジュールに引き渡して設定画面の選択及びその送信といったルーティング処理を行う(S105)。
登録済みでなければ次に割り込みの処理として、アドレスロックテーブル14に、登録済みのエントリが存在するか否かを判断する(S117)。もしエントリが一つも存在しなければ、デフォルトでは通過可能「OK」になっているスイッチテーブル15の値を、通過制限「NG」へと変更する(S118)、スイッチNG切替手段125を実行する。エントリが既に存在している場合は、スイッチテーブル15の値は既に「NG」になっているので、そのまま次の処理へと進む。
まず端末2は、LAN5を構成するエッジルータ7に対してRS(Router Solicitation)を送信し(S301)、エッジルータ7からRA(Router Advertisement)を受信する(S302)。次いでInformation Requestを送信して、DNSサーバ3のアドレスを含む応答をエッジルータから受信する。ここまでは中継装置1は単純にL3ブリッジとして作用し、パケットを素通しする。
2 端末
3 DNSサーバ
5 LAN
6 WAN
7 エッジルータ
11 L3ブリッジ部
12 DNS処理部
13 設定画面ドメインテーブル
14 アドレスロックテーブル
15 スイッチテーブル
17 記憶部
18 HTTPサーバ
21 LAN側インターフェース
22 WAN側インターフェース
111 クエリー中継コピー手段
112 該当パケット破棄手段
113 自己アドレス通知手段
114 スイッチ確認手段
115 スイッチ参照転送手段
116 L3レイヤ確認手段
117 指定判別手段
118 破棄問合手段
121 クエリー判断手段
122 自己アドレス指定手段
123 ロックドメイン記録手段
124 ロック解除手段
125 スイッチNG切替手段
126 ロック状態確認手段
127 解除エントリ確認手段
128 タイマー確認手段
129 スイッチ許可手段
Claims (4)
- LAN側インターフェースと、WAN側インターフェースと、それらの間を中継するL3ブリッジ部とを有する中継装置であって、
LAN側インターフェースから受信したDNSクエリーパケットをWAN側インターフェースに転送するとともに、当該DNSクエリーパケットを解析し、解析した結果、当該中継装置自身を指定するDNSクエリーパケットであれば、当該中継装置自身のIPアドレスを含むDNSレスポンスをDNSクエリーパケットの送信元アドレス宛に返送し、その返送に前後して、WAN側インターフェースから受信する外部のDNSサーバから返送された当該DNSクエリーパケットに対するDNSレスポンスを遮断する中継装置。 - DNSクエリーパケットを処理するDNS処理部と、
上記中継装置を通過するDNSクエリーパケットのうち、上記中継装置自身を指定したパケットのドメインを記録して、当該DNSクエリーパケットに対するDNSレスポンスを遮断するロック状態である情報を保持するアドレスロックテーブルと、
上記アドレスロックテーブルにおいてロック状態にあるドメインの記録が一つも存在しなければ通過を許可する値とし、ロック状態にあるドメインの記録が一つ以上存在すれば通過を制限する値とするスイッチテーブルと、
を有し、
上記L3ブリッジ部は、
上記LAN側インターフェースから受信したDNSクエリーパケットを上記WAN側インターフェースに転送するとともに、当該DNSクエリーパケットをコピーして上記DNS処理部へ受け渡すクエリー中継コピー手段と、
上記WAN側インターフェースからDNSレスポンスを受信した際に、当該DNSレスポンスに含まれるドメインが上記アドレスロックテーブルに記録されてロック状態である情報に該当すれば当該DNSレスポンスのパケットを破棄する該当パケット破棄手段と、
上記中継装置自身の名前の解決を要求するDNSクエリーパケットの送信元アドレスへ、上記中継装置自身のアドレスを含むDNSレスポンスを送信する自己アドレス通知手段と、
上記WAN側インターフェースからDNSレスポンスを受信した際に、上記スイッチテーブルを参照するスイッチ確認手段と、
上記スイッチテーブルが通過を許可する値であれば当該DNSレスポンスをL3ブリッジしてLAN側インターフェースに転送するスイッチ参照転送手段と、
を有し、
上記DNS処理部は、
受け取ったDNSクエリーパケットが上記中継装置自身のアドレスを解決するためのものであるか否かを判断するクエリー判断手段と、
上記クエリー判断手段で上記中継装置自身のアドレス解決のためであると判断されたDNSクエリーパケットの送信元アドレスへ、上記中継装置自身のIPアドレスを含むDNSの名前を解決するDNSレスポンスを生成する自己アドレス指定手段と、
上記アドレスロックテーブルに、上記クエリー判断手段で中継装置自身のアドレス解決のためであると判断されたDNSクエリーパケットのドメインを記録してロック状態とするロックドメイン記録手段と、
上記アドレスロックテーブルの記録のうち、遮断の必要がなくなったドメインについて、上記ロック状態を解除するロック解除手段とを有する、
請求項1に記載の中継装置。 - LAN側インターフェースと、WAN側インターフェースと、それらの間を中継するL3ブリッジ部とを有する中継装置に対して、
LAN側インターフェースから受信したDNSクエリーパケットをWAN側インターフェースに転送するとともに、当該DNSクエリーパケットをコピーして解析し、当該中継装置自身を指定するDNSクエリーパケットであれば、当該中継装置自身のIPアドレスを含むDNSレスポンスをDNSクエリーパケットの送信元アドレス宛に返送すると共に、WAN側インターフェースから受信した該当するDNSレスポンスを遮断する、中継装置の運用方法。 - LAN側インターフェースとWAN側インターフェースと、その間を繋ぐL3ブリッジ部と、DNSクエリーパケットを処理するDNS処理部と、テーブルを記録可能な記憶部とを有する中継装置に対して、
上記記憶部に、上記中継装置を通過するDNSクエリーパケットのうち、中継装置自身を指定したパケットのドメインを記録して、それに対するDNSレスポンスを遮断するロック状態である情報を保持するアドレスロックテーブルと、
上記アドレスロックテーブルにおいてロック状態にあるドメインの記録が一つも存在しなければ通過を許可する値とし、ロック状態にあるドメインの記録が一つ以上存在すれば通過を制限する値とするスイッチテーブルと、
を設け、
上記L3ブリッジ部を
上記LAN側インターフェースから受信したDNSクエリーパケットを上記WAN側インターフェースに転送するとともに、当該DNSクエリーパケットをコピーして上記DNS処理部へ受け渡すクエリー中継コピー手段と、
上記WAN側インターフェースからDNSレスポンスを受信した際に、当該DNSレスポンスに含まれるドメインが上記アドレスロックテーブルに記録されてロック状態であれば当該DNSレスポンスのパケットを破棄する該当パケット破棄手段と、
上記中継装置自身の名前の解決を要求するDNSクエリーパケットの送信元へ、上記中継装置自身のアドレスを含むDNSレスポンスを送信する自己アドレス通知手段と、
上記WAN側インターフェースからDNSレスポンスを受信した際に、上記スイッチテーブルを参照するスイッチ確認手段と、
上記スイッチテーブルが通過を許可する値であれば当該DNSレスポンスを速やかにL3ブリッジしてLAN側インターフェースに転送するスイッチ参照転送手段と、
して機能させ、
上記DNS処理部を、
受け取ったDNSクエリーパケットが中継装置自身のアドレスを解決するためのものであるか否かを判断するクエリー判断手段と、
上記クエリー判断手段で中継装置自身のアドレス解決のためであると判断されたDNSクエリーパケットの送信元アドレスへ、DNSの名前を解決するDNSレスポンスを生成する自己アドレス指定手段と、
上記アドレスロックテーブルに、上記クエリー判断手段で中継装置自身のアドレス解決のためであると判断されたDNSクエリーパケットのドメインを記録してロック状態とするロックドメイン記録手段と、
上記アドレスロックテーブルの記録のうち、遮断の必要がなくなったドメインについて、上記ロック状態を解除するロック解除手段として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014048686A JP6223871B2 (ja) | 2014-03-12 | 2014-03-12 | 中継装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014048686A JP6223871B2 (ja) | 2014-03-12 | 2014-03-12 | 中継装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015173381A true JP2015173381A (ja) | 2015-10-01 |
JP6223871B2 JP6223871B2 (ja) | 2017-11-01 |
Family
ID=54260455
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014048686A Active JP6223871B2 (ja) | 2014-03-12 | 2014-03-12 | 中継装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6223871B2 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007266931A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | 通信遮断装置、通信遮断プログラム |
JP2009177841A (ja) * | 2005-10-04 | 2009-08-06 | Zyxel Communication Corp | ネットワーク装置及びその管理方法 |
-
2014
- 2014-03-12 JP JP2014048686A patent/JP6223871B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009177841A (ja) * | 2005-10-04 | 2009-08-06 | Zyxel Communication Corp | ネットワーク装置及びその管理方法 |
JP2007266931A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | 通信遮断装置、通信遮断プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6223871B2 (ja) | 2017-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7060636B2 (ja) | 仮想ネットワークインタフェースオブジェクト | |
US10904204B2 (en) | Incompatible network gateway provisioned through DNS | |
US9319315B2 (en) | Distributing transmission of requests across multiple IP addresses of a proxy server in a cloud-based proxy service | |
US8180891B1 (en) | Discovery, access control, and communication with networked services from within a security sandbox | |
US8861522B2 (en) | Method for providing an internal server with reduced IP addresses | |
US10425675B2 (en) | Discovery, access control, and communication with networked services | |
JP5937078B2 (ja) | マルチテナントリレーを使用する仮想ネットワークの提供 | |
US8667574B2 (en) | Assigning a network address for a virtual device to virtually extend the functionality of a network device | |
JP4487150B2 (ja) | 通信装置、ファイアーウォール制御方法、及びファイアーウォール制御プログラム | |
US20110002346A1 (en) | Extended Network Protocols for Communicating Metadata with Virtual Machines | |
JP6456398B2 (ja) | 仮想サブネット内のホストルートの処理方法、関連デバイスおよび通信システム | |
KR20210025118A (ko) | 어드레스 마이그레이션 서비스 | |
US20130111040A1 (en) | Auto-Split DNS | |
US20210211404A1 (en) | Dhcp snooping with host mobility | |
KR101682513B1 (ko) | 다중-코어 플랫폼들을 위한 dns 프록시 서비스 | |
Nadeem et al. | An ns-3 mptcp implementation | |
CN109076022B (zh) | 网络地址转换装置、设置请求装置、通信系统、通信方法和存储程序的存储介质 | |
US20110276673A1 (en) | Virtually extending the functionality of a network device | |
JP6223871B2 (ja) | 中継装置 | |
JP6003726B2 (ja) | パケット処理装置及びパケット処理プログラム、並びに、ネットワークシステム | |
JP2005217757A (ja) | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム | |
JP6314500B2 (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
JP7230593B2 (ja) | 中継装置及びプログラム | |
JP2008206081A (ja) | マルチホーミング通信システムに用いられるデータ中継装置およびデータ中継方法 | |
JP5810047B2 (ja) | 通信システム、及びパケット通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160229 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170116 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170228 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170419 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171003 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171004 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6223871 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |