如何使用下面概述的设置来避免需要裂脑 DNS 设置?
背景
我使用 Fortigate 200D 进行了“应该”非常基本的设置。
- 使用 DMZ 建立“第三条腿”
- 为内部用户明确定义的 Web 代理
- 默认网关可能设置为该设备。
- 我们面向公众的网站的外部 DNS。
每次我寻找或询问此设置时,我都会得到一个指向这文档本身就意味着裂脑DNS通过不同的 IP 地址访问内部资源。我正在尝试真的很难避免回到那条路。
我收到了以下回应,这让我认为流量没有被正确路由。
403 Forbidden: incorrect proxy service was requested
到目前为止,日志还没有显示任何信息。我还尝试了数据包捕获(在共享 Web 服务器和 Fortigate 上)。它们都表明数据包在 Fortigate 中消失。
答案1
如果您想避免裂脑 DNS,那么外部用户将访问指向 VIP/NAT 的外部 IP 的 www.timistheman.com,而内部用户将访问指向从 LAN 路由到 DMZ 的内部 IP 的 www.mdmarra.local。
如果您希望内部和外部用户解析为同一个 FQDN,那么可以将 DNS 拆分为不同的 IP 或将内部用户路由出去然后再路由回来(单根路由器)。