Domain-Name-System

如何為私有子域配置綁定?

  • May 7, 2012

我正在嘗試為 NAT 防火牆後面的專用網路 (RFC1918) 定義子域;我們稱之為 priv.example.com。通常,根據我在各種網站上收集到的資訊,這可以通過將來自公共和外部 DNS 伺服器(例如 example.com)的子域委託給另一個對 priv.example.com 具有內部和權威性的 DNS 伺服器來完成。

然而,我有幾個問題需要用這個解決方案來克服。首先是我不需要或不希望公共網際網路知道 priv.example.com。我想這可以通過綁定視圖來處理,但我還沒有完全弄清楚(我也不確定我們的 DNS 主機是否支持視圖)。第二個是我必須在防火牆上打開一個洞並創建一個地址轉換,以便外部 DNS 伺服器可以看到內部的。這似乎是不必要的安全風險。

有沒有辦法在不讓 example.com 的公共 DNS 伺服器知道 priv.example.com 的私有 DNS 的情況下創建這種場景?我將 bind9 用於內部私有伺服器。是否有更好的整體解決方案來為我的專用網路提供名稱服務?我見過其他更具爭議性的解決方案,例如使用私有 TLD 或為私有網路中的二級域定義重複的“主”DNS。這些對我來說似乎是醜陋的黑客。

您需要將網路內的所有系統解析為內部 DNS 伺服器。

一旦所有主機都使用內部 DNS 伺服器,您可以將子域定義為區域,如 mulaz 建議的那樣,或使用 DNS 轉發 - 允許您選擇要覆蓋的主機,並讓其餘的在外部解決。無論哪種方式,內部 DNS 伺服器都會中繼(並記憶體)它不知道的任何請求(例如 google.com)。

您本地網路中的電腦使用哪個 dns 伺服器(解析器)?如果他們使用您管理的內部綁定伺服器,您只需為您的域設置區域,並為您的內部服務添加適當的記錄。dns 伺服器仍將作為解析器正常工作以獲取外部地址,但將為本地域的本地使用者提供本地區域。

當然,所有電腦都必須使用您為它們設置的 dns 伺服器,而不是其他 dns 伺服器(如 opendns、google 等)

引用自:https://serverfault.com/questions/386540