NAT配下のDNSどうやって外からアクセス？

すみません、1つ質問させてください。

win2003で試験的に内部DNSを構築したのですが、
最近以下のイベントが記録されます。

ID:5504 ソース：DNS
DNS サーバーは、122.129.***.*** からのパケットに無効なドメイン名を検出しました。
パケットは拒否されます。 イベント データに DNS パケットが含まれています。

恐らくIP：122.129.***.***から当方のDNSに対して、外からアクセスがあったのだと思いますが、
DNSは内向きで、NAT配下に入っています。

またどのポートもこのDNSにはフォワードしていません。
(IPフィルターは特に掛けていません)

それなのに何故外部からアクセスがあるのでしょうか？

よろしくお願いいたします。

No.4 回答者： notnot 回答日時： 2012/11/20 21:33

No2です。

＞ただNAT内でフォワードしていないのに何故DNSにアクセスできるのか？
＞そもそもルータのFWは何故通しているのかが知りたかったのです。

TCPでもUDPでも、内側から外側への問い合わせに対する応答は（一定時間内であれば）通します。
でないと通信できない。

No.3 回答者： maesen 回答日時： 2012/11/20 10:11

外部に問い合わせたDNSの応答のパケットでしょう。

ざっくりとした説明ですが。

ご存じのようにDNSの問合せはUDPです。
UDPはTCPのようにコネクション張りませんので、DNSのように応答があるプロトコルはその応答のUDPを受信できないと通信が成り立ちません。
そのため、NAT配下であっても応答のUDPは通すように動作します。
応答の判断はNATエントリの有無を見て、内部から送信したパケットと同じ送信先IP、ポートからの通信ならば応答だと思って処理します。（これは一例です）

もちろんいきなり送り付けられたUDPパケットは通常捨てられます。

この回答へのお礼

ありがとうございます。
てっきりルータのFWでポートフォワードに設定している物以外は
捨てられる物だと思っていました。
UDPであれば通す物もあるのですね。
勉強になりました。

お礼日時：2012/11/20 16:56

No.2 回答者： notnot 回答日時： 2012/11/19 23:34

外部のDNSサーバーへの問い合わせの応答だと思います。

この回答へのお礼

ありがとうございます。
ただNAT内でフォワードしていないのに何故DNSにアクセスできるのか？
そもそもルータのFWは何故通しているのかが知りたかったのです。

お礼日時：2012/11/20 16:58

No.1 回答者： Toshi0230 回答日時： 2012/11/19 22:57

ググって見たら参考URLのページがヒットしました。

んで、原因として挙げられているのが以下の5つ。
------
1. The DNS cache becomes corrupt with invalid domain names.
2. The DNS Server receives a spoofed response.
3. The DNS response contains domain names with characters other than 0-9, a-z, A-Z, . (Period), and - (Hyphen).
4. The DNS Server has been configured with invalid forwarders
5. The network the DNS server resides on is busy or not working properly.
------

2,3 あたりはDNSの返答パケット内に不正なドメイン名が含まれている場合ですから、
必ずしも外部からのアクセスがあるわけではなさそうですね。

参考URL：http://social.technet.microsoft.com/Forums/en-US …

この回答へのお礼

ありがとうございました。
そういう事もあるのですね。

お礼日時：2012/11/20 17:00