同一 DNS 的不同路由

同一 DNS 的不同路由

我不知道这个概念的正确术语是什么。但基本上,我只想重新路由内部流量,使其直接到达网络内的服务器,而不是绕过互联网。域名必须相同。

例子:

- (for internal users) site.domain.com --> 10.0.0.1
- (for external users) site.domain.com --> 111.222.111.12

这些是我的限制:

  • 域名需要相同。
  • 该系统无法配置为与 1 个以上的域一起工作。
  • 我们在微软网络上。

我最近看到了这篇文章,但它已经过时了。现在可能有一个解决方案。

根据客户端 IP 网络将相同的 DNS 名称解析为不同的 IP

我将非常感激您的任何建议。

谢谢你!

答案1

您需要使用“拆分 DNS”设置。本质上,您有一个 DNS 服务器用于外部请求/用户,还有一个 DNS 服务器用于内部使用。外部 DNS 服务器将内容指向您面向公众的 IP,而内部 DNS 可以使用您的私有 IP 范围。

然而,如何具体实现这一点则取决于你到底在做什么。

下面是一个关于这个想法的很好的、虽然过时的入门知识:

http://www.isaserver.org/tutorials/you_need_to_create_a_split_dns.html

答案2

我只是想重新路由内部流量,使其直接到达网络内的服务器,而不是绕过互联网。我将向您展示 LAN 流量和 WAN 流量两个选项。

===========================================================================

#1 - 硬防火墙您需要打开端口 53 UDP 和(如果需要,则打开 TCP)。

因此,(对于外部用户)必须在每台外部公共笔记本电脑、电话、台式机或其他设备上将 site.domain.com --> 111.222.111.12 设置为静态 DNS。Godaddy A 记录使用公共主机或 IP 更新。

我假设您正在过滤来自一个箱子的所有流量。对于 MS 服务器,我使用安装在其上的 SimpleDNS。您的主机名可以轻松指向静态或动态 IP。您可以使用主机名或 IP。在此示例中,它将是 IP,因为解析静态主机名没有问题,但动态 IP 需要所谓的 TTL,这是一个较低的数字。KISS 让这一切保持简单。无论如何,Simple DNS 都可以完成这一切。我不使用 Microsoft 的 A 记录,但您可以使用 DNS 指向本地 IP。

===============================================================

确保 DNS 框的 IP 是私有 IP

192.168.1.200 = 此 DNS 服务器的 IP

255.255.255.0

192.168.1.1 = 防火墙 IP

192.168.1.200 = 安装并激活 SimpleDNS 后的 DNS 192.168.1.1 = 安装 simpleDNS 之前,否则无法访问互联网。

==============================================

请记住,您已告诉您的塑料或金属防火墙在端口 53 UDP 和 TCP 上打开或转发此本地 IP 192.168.1.200。因此,对任何网站的任何请求都将首先从外部公共网络传递到您的私人盒子 192.168.1.200。我保证您会遇到一些恶意的人试图窃取您的资料……其中很多都是坏人。如果您是新手,请停止并向专业人士付款,否则您的商业机密将在网上或律师事务所曝光。这可能是安全期间最重要的设置。请记住,端口 53 是开放的,可供所有人查看,并且不会关闭,这与其他临时随机端口不同。是的,递归解决了这个问题但是再次.....

明白了吗?现在,当您离开本地 IP 时,您的公共 IP 111.222.111.12 会将所有 DNS 端口 53 请求转发到您办公室 192.168.1.200 中的这台特定机器。当您本地插入其 dns 192.168.1.200 作为 dns 1

所有外部巡演人员应添加 TCP/IPV4 使用以下 DNS 服务器地址:DNS 1:111.222.111.12

所有室内员工(使用管理员权限以防止绕过 DNS)使用以下 DNS 服务器地址:DNS 1:192.168.1.200

再次强调,111.222.111.12 公共 IP 流量将仅进入您的办公室,到达这台机器 192.168.1.200,而不会到达任何其他机器。

您最不希望看到的是您的外部员工使用您的笔记本电脑观看色情内容或其他内容。现在,您无需使用 VPN 即可阻止这种情况,并避免长达 5 美元的麻烦 :)

困惑?对于某些人来说,这是一个很难理解的话题,但对于某些公司来说,这是法律要求。对于仅 LAN 流量,上述方法就足够了。对于经常出差的人来说,如果是 W2,则需要过滤所有内容。拒绝除这些批准的网站之外的一切。如果是 1099,那么它就是自己的水坝机器。希望这些添加的基本步骤可以帮助其他人寻找更多。

答案3

是的,你提供的链接很好。它叫做视图绑定 DNS 服务器。似乎无法使用 Microsoft DNS 服务器。

在 bind 中,同一个区域被定义两次:一个使用公有 IP,另一个使用私有 IP。然后 DNS 服务器配置为根据客户端源 IP 使用每个区域。

答案4

对于内部用户,请将其全部设置为使用您的本地 DNS 服务器。此选项可在 DHCP 中设置。确保本地 DNS 服务器具有托管网站的服务器的内部 IP 的 A 记录,而不是公共 IP。

您的域名由某个注册商管理。如果是 GoDaddy/Verio/NetworkSolutions 之类的公司,那么他们有自己的名称服务器。在您的网站上进行 WHOIS 查询,它应该会列出名称服务器。如果您没有更改它们,那么它们由您的域名注册商管理。从您的域名注册商的配置页面,您应该有一个管理 DNS 记录的选项。这是您域名的公共权威 DNS 服务器。在此处输入您网站的公共 IP。

外部用户(假设他们位于您的子网之外)最终将查询权威名称服务器,因为他们所在的本地 DNS 服务器不知道您网站的 IP。然后他们将获得公共 IP。

当内部用户尝试访问该网站时,他们会首先查询本地 DNS 服务器。由于该服务器有该网站的 A 记录,因此会返回该记录,这样用户就无需通过互联网访问。

第三个选项是在防火墙上创建 NAT 环回规则。对于 Sonicwall 来说,它会像这样:

对于所有来自防火墙子网并试图访问网站公共 IP 的流量,将流量重新路由到网站的内部 IP。

相关内容