我们在本地网络中提供多项启用 SSL 的服务。
为了避免证书警告,我们购买了server.ourdomain.tld和 的证书firewall.ourdomain.tld。
我们现在在本地 DNS 服务器中创建了一个区域,其中我们将主机指向相应的私有 IP。
现在,每次另一个记录(ourdomain.tld例如www.ourdomain.tld或类似)发生更改时,我们都需要在公共 DNS 服务器和本地 DNS 服务器上更新它。
我希望我们的本地 bind-dns 能够提供来自我们的 public-dns 的所有信息,但为这两个主机提供不同的信息。
我知道我可能在我们的公共 DNS 中拥有我们的私有 IP,但出于安全原因我不想这样做。
互联网 DNS 服务器由第三方管理,而我们完全控制内联网 DNS 服务器。因此,我正在寻找一种解决方案,让内联网从互联网 DNS 服务器检索记录。
答案1
使用拆分 DNS绑定中的配置。无论如何,您都应该使用它来防止绑定服务器被用作放大攻击。一旦运行了它,您就可以继续对区域文件进行拆分配置。
为内部网 (内部) 用户创建一个区域文件,为 Internet (外部) 用户创建一个区域文件。在每个文件中只放置具有不同 IP 地址的子域。创建包含其余 IP 地址的第三个文件,并将其包含在前两个区域文件中。我会将序列号放在包含文件中。
使用此配置,您将能够在一个位置进行编辑并重新加载。如果您需要更改其中一台服务器的 IP 地址(该服务器对本地用户和 Internet 用户具有不同的 IP 地址),则需要在第三个文件中增加序列号。
上述方法可能会泄露您不希望从 Internet 访问的服务器的信息。您最好使用两个区域文件,一个用于内联网用户,另一个用于 Internet。如果您的网络规划得当,则一次只需在一个文件中更改 IP 地址。
互联网的区域文件应仅包含您要从互联网访问的域的信息。它应仅包含互联网可路由的 IP 地址。
内联网的区域文件可以包含您想要的所有服务器。它可以包括具有私有 IP 地址的服务器:10.0.0.0/8、172.16.0.0/12 和/或 192.168.0.0/8。如果您使用 VPN,请配置拆分 DNS 以包含内联网大小的 VPN 主机。
编辑:努力稳定互联网上可见的 IP 地址。我还没有从事过动态 IP 地址的项目。您确实应该尽可能少地在互联网上显示域名。它们都应该位于 DMZ 内。如果可能,请为经常移动的域名提供多主 IP 地址。如果不行,请考虑在互联网端创建一个子域,您可以在其中更改 IP 地址并使用 CNAMES 从互联网和内联网指向这些记录。
必须暴露在互联网上的服务器/服务包括 DNS、Web、SMTP(邮件)和 VPN。请仔细考虑其他服务器/服务的风险。使用 CNAMES 可以轻松处理(多个)Web 域。在大多数情况下,数据库服务器不应暴露在互联网上。