Domain-Name-System

公共 DNS 中的私有 IP 地址

  • February 3, 2022

我們在防火牆後面有一個僅限 SMTP 的郵件伺服器,該伺服器將有一個公共的 A 郵件記錄。. 訪問此郵件伺服器的唯一方法是從同一防火牆後面的另一台伺服器。我們不執行我們自己的私有 DNS 伺服器。

將私有 IP 地址用作公共 DNS 伺服器中的 A 記錄是個好主意 - 還是最好將這些伺服器記錄保存在每個伺服器的本地主機文件中?

有些人會說,任何公共 DNS 記錄都不應該公開私有 IP 地址……他們的想法是,您正在為潛在的攻擊者提供一些資訊,這些資訊可能需要利用私有系統。

就我個人而言,我認為混淆是一種糟糕的安全形式,尤其是當我們談論 IP 地址時,因為總的來說它們很容易被猜到,所以我不認為這是一種現實的安全妥協。

這裡更大的考慮是確保您的公共使用者不會將此 DNS 記錄作為託管應用程序的正常公共服務的一部分。即:外部 DNS 查找以某種方式開始解析到他們無法到達的地址。

除此之外,我認為將私有地址 A 記錄放入公共空間是一個問題的根本原因……尤其是當您沒有備用 DNS 伺服器來託管它們時。

如果您決定將此記錄放入公共 DNS 空間,您可能會考慮在同一台伺服器上創建一個單獨的區域來保存所有“私人”記錄。這將更清楚地表明它們是私有的….但是對於一個 A 記錄,我可能不會打擾。

引用自:https://serverfault.com/questions/4458