はじめに

diagnose debug reportを実行したときに、
実際に取得される情報について調べる企画、第5回目です。

この企画に意味があるのか、という葛藤と戦ってます。

show full-configuration system dns

第5回目はshow full-configuration system dnsです。
このコマンドでFortiGateが参照するDNSサーバの設定確認が行えます。

FortiGateでは、設定をshowコマンドで確認できます。
showコマンドではデフォルトからの差分のみが表示されますが、
show full-configurationだと、デフォルト値も表示することができます。

では実行結果を見ていきましょう。
こちらの公式CLI Referenceを参考にしました。
docs.fortinet.com

### show full-configuration system dns


config system dns
#プライマリ参照DNSサーバ
    set primary XXX.XXX.XXX.XXX

#セカンダリ参照DNSサーバ
    set secondary XXX.XXX.XXX.XXX

#DNSクエリにTLSを利用するかどうか
    set dns-over-tls disable

#SSL接続用のローカル証明書名
    set ssl-certificate "Fortinet_Factory"

#プライマリ参照DNSサーバのIPv6アドレス
    set ip6-primary ::

#セカンダリ参照DNSサーバのIPv6アドレス
    set ip6-secondary ::

#DNSクエリのタイムアウト時間（1 ~ 10秒）
    set timeout 5

#DNSクエリのリトライ回数（0 ~ 5回）
    set retry 2

#DNSキャッシュ内の最大レコード数（0 ~ 4294967295個）
    set dns-cache-limit 5000

#DNSキャッシュの保持時間（60 ~ 86400秒）
    set dns-cache-ttl 1800

#レコードがキャッシュにない場合のDNSサーバーからの応答を有効または無効にする？
    set cache-notfound-responses disable

#DNSサーバにクエリを送信するIPアドレス
    set source-ip 0.0.0.0

#DNSサーバにクエリを送信するインタフェースの指定方法
    set interface-select-method auto
end

所感

config system dnsはFortiGate自体が参照するDNSサーバの設定です。
FortiGateにDNSを設定していなければ、FortiGuardへのアップデートや、
ポリシーに設定されたFQDNの名前解決ができないため、設定が必須です。

ただ、私はプライマリとセカンダリのIPアドレスの設定以外したことないです。

さいごに

DNSクエリにTLSを意識して使ったことないんですが、そんな機能もあるんですね。