我正在尝试为 NAT 防火墙后面的私有网络 (RFC1918) 定义一个子域;我们将其称为 priv.example.com。通常,从我在各个网站上收集到的信息来看,这可以通过将子域从 example.com 的公共和外部 DNS 服务器委托给 priv.example.com 的另一个内部且具有权威性的 DNS 服务器来实现。
但是,这个解决方案有几个问题需要克服。首先,我不需要也不希望公共互联网知道 priv.example.com。我想这可以通过绑定视图来处理,但我还没有完全弄清楚(我也不确定我们的 DNS 主机是否支持视图)。其次,我必须在防火墙上打开一个漏洞并创建一个地址转换,以便外部 DNS 服务器可以看到内部 DNS 服务器。这似乎是一个不必要的安全风险。
有没有办法创建此方案,而无需让 example.com 的公共 DNS 服务器知道 priv.example.com 的私有 DNS?我正在使用 bind9 作为内部私有服务器。有没有更好的整体解决方案来为我的私有网络提供名称服务?我见过其他更具争议的解决方案,例如使用私有 TLD 或为私有网络内的二级域定义重复的“主”DNS。在我看来,这些似乎是丑陋的黑客行为。
答案1
您需要让网络内的所有系统解析到内部 DNS 服务器。
一旦所有主机都使用内部 DNS 服务器,您就可以将子域定义为区域(如 mulaz 所建议的),或者使用 DNS 转发 - 允许您选择要覆盖的主机,并让其余主机在外部解析。无论哪种方式,内部 DNS 服务器都会中继(和缓存)它不知道的任何请求(例如 google.com)。
答案2
您的本地网络中的计算机使用哪个 DNS 服务器(解析器)?如果他们使用您管理的内部绑定服务器,您只需为您的域设置区域,并为您的内部服务添加适当的记录。DNS 服务器仍将作为获取外部地址的解析器正常工作,但将为您的本地域的本地用户提供本地区域。
当然,所有计算机都必须使用您为其设置的 DNS 服务器,而不是其他 DNS 服务器(例如 opendns、google 等)。
答案3
您可以使用拆分 DNS 配置 Bind。然后,您将拥有两个单独的域区域文件。要向公众提供服务的区域文件将仅包含您希望公开的记录。同一域内部提供服务的区域文件将包含相同的信息以及您希望内部客户端可用的任何其他资源。此内部区域文件还可以根据需要为资源提供内部地址,而不是公共地址。