Как настроить bind для частного субдомена?
Я пытаюсь определить поддомен для частной сети (RFC1918) за межсетевым экраном NAT; давайте назовем это priv.example.com. Обычно, и из того, что я могу собрать на разных веб-сайтах, это можно сделать, делегировав субдомен от публичного и внешнего DNS-сервера для example.com другому DNS-серверу, который является внутренним и является полномочным для priv.example.com.
Однако у меня есть пара проблем, которые нужно преодолеть с помощью этого решения. Во-первых, мне не нужно или не нужно, чтобы общедоступный Интернет знал о priv.example.com. Я предполагаю, что это может быть обработано с помощью представлений связывания, но я еще не совсем понял это (и я не уверен, поддерживает ли наш DNS-сервер представления). Во-вторых, мне нужно открыть дыру в брандмауэре и создать трансляцию адресов, чтобы внешний DNS-сервер мог видеть внутренний. Это кажется ненужным риском для безопасности.
Есть ли способ создать этот сценарий без уведомления общедоступного DNS-сервера для example.com о частном DNS для priv.example.com? Я использую bind9 для внутреннего, частного сервера. Есть ли лучшее общее решение для предоставления службы имен для моей частной сети? Я видел другие, более противоречивые решения, такие как использование частного TLD или определение дублирующего "главного" DNS для домена второго уровня в частной сети. Это похоже на уродливые хаки для меня.
3 ответа
Необходимо, чтобы все системы внутри сети перешли на внутренний DNS-сервер.
Как только все хосты используют внутренний DNS-сервер, вы можете либо определить поддомен как зону, как подсказывает mula z, либо использовать переадресацию DNS - что позволяет вам выбирать, какие хосты переопределять, и разрешать остальное разрешать внешне. В любом случае внутренний DNS-сервер будет ретранслировать (и кэшировать) любые запросы, о которых он не знает (например, google.com).
Какой DNS-сервер (распознаватель) используют компьютеры в вашей локальной сети? Если они используют внутренний сервер связывания, которым вы управляете, вы можете просто настроить зону для своего домена и добавить соответствующие записи для ваших внутренних служб. DNS-сервер по-прежнему будет нормально работать в качестве распознавателя для получения внешних адресов, но будет обслуживать локальные зоны для локальных пользователей для вашего локального домена.
Конечно, все компьютеры должны будут использовать сервер DNS, который вы для них настроили, а не другие серверы DNS (например, opendns, Google и т. Д.).
Вы можете настроить Bind с разделенным DNS. Тогда у вас будет два отдельных файла зоны для домена. Тот, который будет представлен публике, будет содержать только те записи, которые вы хотите сделать общедоступными. Файл зоны для того же домена, который будет обслуживаться внутри, будет содержать ту же информацию и любые дополнительные ресурсы, которые вы хотите сделать доступными для внутренних клиентов. Этот файл внутренней зоны может также обслуживать внутренние адреса для ресурсов, а не общедоступный адрес, в зависимости от ситуации.