公共 DNS 中的私有 IP 地址

我們在防火牆後面有一個僅限 SMTP 的郵件伺服器，該伺服器將有一個公共的 A 郵件記錄。. 訪問此郵件伺服器的唯一方法是從同一防火牆後面的另一台伺服器。我們不執行我們自己的私有 DNS 伺服器。

將私有 IP 地址用作公共 DNS 伺服器中的 A 記錄是個好主意 - 還是最好將這些伺服器記錄保存在每個伺服器的本地主機文件中？

有些人會說，任何公共 DNS 記錄都不應該公開私有 IP 地址……他們的想法是，您正在為潛在的攻擊者提供一些資訊，這些資訊可能需要利用私有系統。

就我個人而言，我認為混淆是一種糟糕的安全形式，尤其是當我們談論 IP 地址時，因為總的來說它們很容易被猜到，所以我不認為這是一種現實的安全妥協。

這裡更大的考慮是確保您的公共使用者不會將此 DNS 記錄作為託管應用程序的正常公共服務的一部分。即：外部 DNS 查找以某種方式開始解析到他們無法到達的地址。

除此之外，我認為將私有地址 A 記錄放入公共空間是一個問題的根本原因……尤其是當您沒有備用 DNS 伺服器來託管它們時。

如果您決定將此記錄放入公共 DNS 空間，您可能會考慮在同一台伺服器上創建一個單獨的區域來保存所有“私人”記錄。這將更清楚地表明它們是私有的….但是對於一個 A 記錄，我可能不會打擾。

引用自：https://serverfault.com/questions/4458