我有一个 pfSense 防火墙和一个 Windows 2008 R2 DNS 服务器。我非常希望我的 DNS 服务器能够响应对我的子域的外部查询。目前,我正在为此使用第三方服务。
有什么方法可以让我 2008 服务器响应来自“世界”的 DNS 请求,同时仍将其置于防火墙后面?
目前我只有一个外部 IP。但如果需要的话,我可以购买第二个,如果这对这种情况有帮助的话。
答案1
您可以获取额外的 IP,并将内部 DNS 服务器 1:1 NAT 为公共 IP,并打开端口 53。
您应该注意,您确实应该将权威服务器与递归解析器分开。您提议的做法在技术上是可行的,但由于多种原因,这确实是一种糟糕的做法。
答案2
如果您尚未在该 IP 上运行 DNS 服务器,则可以将 TCP/UDP 53 端口转发到现有 WAN IP 上的服务器。但在大多数情况下,我不建议这样做,最好将公共 DNS 和私有 DNS 分开。特别是如果您正在运行 Active Directory,如果您将为您的 AD 提供服务的 DNS 服务器开放到 Internet,您将向全世界公开大量有关内部网络的信息。