🦨
Cloudflare Gateway DNS エージェントレス利用
エージェントレス(WARPクライアントなし)での接続方法は?
Cloudflare Gateway DNS フィルタリングのエージェントレスでの接続方式はいくつかあります。
DNS クエリーと TEAM のポリシーに紐つけ
フロー図はここに書いてあります。
*執筆時点(2024/4)では下記の 2 番目の Enterprise オプションの記載はありません。
| Do? | DNS クエリの識別ポイント | Gateway 側での準備 |
|---|---|---|
| IPv4 | 送信元 IPv4 アドレス | ユーザー自身で送信元グローバル IP を登録(Enterprise プランのみ) *他のプランはダッシュボードに接続している送信元 IP のみ登録可能 |
| IPv4 | 宛先 IPv4 アドレス | Team 専用の IPv4 DNSサーバーが提供される *Enterprise プランのオプション機能 |
| IPv6 | 宛先 IPv6 アドレス | Team 専用の IPv6 DNSサーバーが提供される |
| DoT | 宛先 FQDN | Team 専用の DoT サーバーが提供される |
| DoH | 宛先 FQDN | Team 専用の DoH サーバーが提供される |
余談
試しに自分の Gateway に割り当てられた IPv6 リゾルバーに svcb 聞いて DoT/DoH のホスト情報が得られるか試しましたが、one.one.one.one が帰ってきたので、Gateway の個別 Team には DDR 対応していないかも。
$ kdig @$v6Resolver _dns.resolver.arpa svcb +short
1 one.one.one.one. alpn=h2,h3 port=443 ipv4hint=1.1.1.1,1.0.0.1 ipv6hint=2606:4700:4700::1111,2606:4700:4700::1001 key7="/dns-query{?dns}"
2 one.one.one.one. alpn=dot port=853 ipv4hint=1.1.1.1,1.0.0.1 ipv6hint=2606:4700:4700::1111,2606:4700:4700::1001
DDR
DNR
Discussion