我在这方面还是个新手,所以请不要纠结。我有以下网络拓扑 - Comcast Business Gateway<->SonicWall TZ Router<->LAN(Mac OS X 服务器)。我使用我的 MacPro 作为 DNS 服务器,并将其静态 LAN IP 插入我的路由器作为主 DNS 服务器。我已将 FQDN 分配给 DNS 服务器上其他各种 LAN 机器的静态 IP。我能够在 LAN 内通过它们的 FQDN 内部访问这些服务器。
但是,在 LAN 外部,我完全无法通过 FQDN 访问这些机器。我的 FQDN 都位于同一个域下,例如 fqdn1.domainname.com/fqdn2.domainname.com 等等。我的 domainname.com 仅解析为路由器后面的一台服务器。我只有一个映射到 domainname.com 的静态公共 IP(WAN IP)。
我的问题是 - 如何通过 FQDN 访问其他机器?我应该去哪里找?此外,每个 FQDN 是否都需要一个单独的公共静态 IP(WAN IP)来解析?
非常感谢您的帮助!
答案1
您实际上问的是两个不同的问题。
- 如何才能让我的局域网上的计算机可以通过互联网访问?
- 如何配置 DNS 以便我的 LAN 上的计算机具有可在 Internet 上解析的名称?
第一个问题的风险最大。任何可以通过互联网访问的计算机都是蠕虫、黑客和其他邪恶势力的目标。创建一个非军事区将有助于隔离您的公共计算机,以便私人计算机保持私密。我强烈建议您在实际设置之前进行研究并了解您将要面对的情况。鉴于您只有一个 IP 地址,您需要使用转发端口使多台计算机都可以提供服务。
至于第二个问题,LAN 外部的计算机无法解析内部计算机的名称,因为它们不知道在哪里寻找答案。LAN 内部的计算机知道询问您的私有 DNS 服务器,因为它们通过 DHCP 获得了该信息以及它们的 IP 地址。您确实应该花一些时间学习如何DNS有效。首先,您需要在注册员。
更新:您已经注册了域名?这是一个很好的开始。我假设您已经使用域名注册商提供的基于 Web 的控制面板将域名“映射”到服务器的静态 IP,以创建“A”记录。此时,您可以通过几种方式继续操作。
- 为每台内部计算机向域的 DNS 区域添加 A 记录。这称为拆分 DNS,因为您要维护同一 DNS 区域的两个副本:一个用于内部客户端,一个用于公共互联网。
- 将子域(例如
internal.contoso.com
)的权限委托给面向互联网的 DNS 服务器。您可以通过创建 NS 记录来执行此操作。这需要对您的服务器进行一些重新配置,因为您将以 格式访问主机host1.internal.contoso.com
。
此外,还需要对术语进行一些澄清;请考虑以下示例:foo.example.com
- “主机”或“主机名”部分是
foo
- “域”部分是
example.com
- FQDN 是
foo.example.com
答案2
我了解安全要求,并将设置单独的 DMZ 和 LAN 子网。我对 DNS 及其工作原理有粗略的了解。此外,我有一个域名,我已将其映射到我的静态公共 IP。
我主要想通过 FQDN(基本上是我的域名的子域)访问 LAN 上的不同计算机(它将是从 DMZ 上的服务器进行身份验证的条目,因此不会不安全)。我是否应该使用不同的公共静态 IP(一个用于 LAN,一个用于 DMZ?)。