欺骗 DMZ 中另一个域的 DNS

欺骗 DMZ 中另一个域的 DNS

我正在设置一个与公司 LAN 断开连接的 DMZ。我已将 DMZ 主机的 DNS 服务移至 DMZ,并精简了一组区域信息,其中仅包含 DMZ 主机需要知道的信息。某些连接需要从 DMZ 返回 LAN。我知道这不是理想的选择,但与现在的基础设施相比,这仍然是一种改进(基本上,人们正在从他们的桌面运行服务)。

无论如何,我需要从 DMZ 通过端口 636 连接到 LAN 上的 LDAP 服务器。我已使用 IP 地址建立了连接,但是 LDAP 服务器位于另一个分支机构,通过 VPN,并且管理员使用循环 DNS,因此 IP 每次都不一致。

目前,有 6 个 IP 地址与 LDAP 服务 (ldap.office.org) 相关联。我可以将这 6 个 IP 地址添加到每个 DMZ 主机中的 /etc/hosts 文件中,但我希望将它们放在 DNS 中,但它们不在我的 DNS 具有权威性的同一域下(DMZ 中的主机位于“foo.dmz”域中,其中 LDAP 为“ldap.office.org”)

如何让我的 BIND 服务器为 ldap.office.org 提供 6 个 IP,而不是将 DNS 请求转发到互联网根服务器?

答案1

这听起来相当简单。在绑定服务器上创建一个区域,ldap.office.org并将 6 个 IP 添加为@记录。

如果您能获得其他管理员的合作,他们可以创建一个ldap.office.org区域并允许您从他们的权威服务器进行区域传输(这样您就不必手动同步该区域的副本)。

相关内容