Cloudflare の Pending ゾーンで Logpush と Outgoing Zone Transfer は機能するか

cloudflare

Last updated at 2024-06-24Posted at 2024-06-24

Cloudflare の Pending ゾーン

以下のドキュメントによると、Pending ゾーンでは

DNSクエリに応答する
プロキシできない（付随する DDoS や WAF 等のサービス群が機能しない）
有料プランなら自動削除されない

Pending
お客様のゾーンのステータスは、Cloudflareダッシュボード上でPending Nameserver Updateとして表示されます。

Cloudflareは、割り当てられたCloudflareネームサーバーIP上の保留中のゾーンに対するDNSクエリに応答しますが、お客様のゾーンはまだアクティブではなく、Cloudflareへのプロキシトラフィックに使用することはできません。

お客様のドメインが無料プランの場合、28日以内に有効化されないと自動的に削除されます。有料プラン（Pro、Business、Enterprise）の保留中のゾーンは、プランが削除されるか、ドメインが有効化されるか、Cloudflareから削除されるまで保留されたままになります。

上記を踏まえると、DNS ベースの基本機能は動くように見えますが、以下では DNS 機能に関連する Logpush と Outgoing Zone Transfer は機能するかを確認します。

DNSクエリに応答することを確認

以下のようにレコードを構成した上で、DNSクエリに応答することを確認します。

払い出されたネームサーバーに問い合わせると、DNSクエリに応答することが確認できます。

% dig @keyla.ns.cloudflare.com example.com A +short
9.9.9.9

Logpush が機能することを確認

以下のように DNS logs のデータセットの Logpush を構成します。

先ほどの DNS クエリ確認コマンドを打ち続けると、Logpush によって以下のログが確認できました。

{
  "ColoCode": "NRT",
  "EDNSSubnet": "",
  "EDNSSubnetLength": 0,
  "QueryName": "example.com.",
  "QueryType": 2,
  "ResponseCached": true,
  "ResponseCode": 0,
  "SourceIP": "x.x.x.x",
  "Timestamp": "2024-06-20T06:15:25Z"
}
{
  "ColoCode": "NRT",
  "EDNSSubnet": "",
  "EDNSSubnetLength": 0,
  "QueryName": "example.com.",
  "QueryType": 2,
  "ResponseCached": true,
  "ResponseCode": 0,
  "SourceIP": "x.x.x.x",
  "Timestamp": "2024-06-20T06:15:26Z"
}

Outgoing Zone Transfer が機能することを確認

以下のような構成で Outgoing Zone Transfer が機能することを確認します。

以下の手順に沿って進めます。

Peer DNS Server の構成

TSIG を含め、以下のように構成します。

NS1 の IP アドレスは 192.135.223.10 を使います。

For secondary zones published to the shared Managed DNS network (network 0), the XFR server IP address is 192.135.223.10.

NS1 (Secondary DNS) の設定

TSIG を含め、以下のように構成します。

Cloudflare の IP アドレスは 172.65.64.6 を使います。

Transfer IP
Cloudflare will listen to AXFR/IXFR zone transfer requests and SOA queries from your Secondary DNS server on this IP address.

172.65.64.6