有一个指向内部域名的公共 CNAME 可以吗?

有一个指向内部域名的公共 CNAME 可以吗?

我有一个(公共)域和一个用于我的(内部)子域区域的内部 DNS 服务器。让公共 CNAME 指向内部域名可以吗?

  • 假设example.com是公共区域(由我的网站托管商管理),其中有一些可公开访问的服务器(例如www.example.comgit.example.com)。
  • local.example.com是内部区域(内部 DNS 服务器指向私有 IP 地址)

现在我将弃用的公共服务移至我的内联网。是否有人反对使用像 这样的 CNAME service.example.com -> deprecated.local.example.com?来自互联网的 DNS 请求将始终获得NXDOMAIN。对我来说,主要的好处是弃用服务的内部消费者可以使用与以前相同的 URL。

答案1

从纯技术层面来说?当然可以。

从机构层面来看,你可能需要与你的安全团队核实,确保他们没有禁止这种行为的政策。他们可能认为这是不允许泄露内部网络详细信息的行为。

答案2

从技术上讲是可以的。但这只会让偶然发现此标签的外部客户端感到困惑,无法完全解析它。

因此,更好的设置(但需要做更多工作)是确保这个问题local.example.com仅在内部解决,并且对它的外部查询将返回 NXDOMAIN,甚至无需 CNAME 即可。

相关内容