Назад | Перейти на главную страницу

Различные маршруты для одного и того же DNS

Я не знаю подходящего термина для этой концепции. Но в основном я просто хочу перенаправить внутренний трафик, чтобы он шел непосредственно на сервер в сети, а не через Интернет. Домен должен быть таким же.

Пример:

- (for internal users) site.domain.com --> 10.0.0.1
- (for external users) site.domain.com --> 111.222.111.12

У меня есть следующие ограничения:


Я недавно видел этот пост, но он старый. Возможно, сейчас есть решение.

Разрешить одно и то же DNS-имя для разных IP-адресов в зависимости от IP-сети клиента

Буду признателен за любой совет.

Спасибо!

Вам необходимо использовать настройку «Split DNS». По сути, у вас есть один DNS-сервер для внешних запросов / пользователей и один DNS-сервер для внутреннего использования. Внешний DNS-сервер указывает на ваши общедоступные IP-адреса, а внутренний DNS-сервер может использовать ваш частный диапазон IP-адресов.

Однако как именно вы этого добьетесь, будет зависеть от того, что именно вы делаете.

Вот хороший, хотя и устаревший учебник по этой идее:

http://www.isaserver.org/tutorials/you_need_to_create_a_split_dns.html

Для внутренних пользователей настройте их всех на использование вашего локального DNS-сервера. Эта опция может быть установлена ​​в DHCP. Убедитесь, что на локальном DNS-сервере есть запись A для внутреннего IP-адреса вашего сервера, на котором размещен веб-сайт, а не для общедоступного.

Ваше доменное имя управляется каким-то регистратором. Если это кто-то вроде GoDaddy / Verio / NetworkSolutions, то у них есть свои собственные серверы имен. Выполните поиск в WHOIS на своем сайте, и он должен указать серверы имен. Если вы не меняли их, то ими управляет регистратор вашего домена. На странице конфигурации регистратора домена у вас должна быть возможность управлять записями DNS. Это публичный авторитетный DNS-сервер для вашего домена. Введите здесь публичный IP-адрес вашего сайта.

Внешние пользователи, если они находятся за пределами вашей подсети, в конечном итоге будут запрашивать авторитетный сервер имен, поскольку их локальный DNS-сервер, где бы они ни работали, не будет знать IP-адрес вашего веб-сайта. Затем им будет предоставлен публичный IP-адрес.

Когда внутренние пользователи пытаются получить доступ к сайту, они сначала запрашивают локальный DNS-сервер. Поскольку у него есть запись A для сайта, она будет возвращена, чтобы они не передавались через Интернет.

Третий вариант - создать на вашем брандмауэре петлевое правило NAT. Для Sonicwall это будет примерно так:

Для всего трафика, исходящего из защищенной брандмауэром подсети, которая пытается получить доступ к общедоступному IP-адресу веб-сайта, вместо этого перенаправьте трафик на внутренний IP-адрес веб-сайта.

Вам нужен ваш внутренний DNS-сервер. Хотя, поскольку ваш DNS обрабатывается третьей стороной, вам действительно не нужен ваш внутренний сервер для поддержки Просмотры. Установите любой сервер вроде BIND или SimpleDNS Plus, или используйте Microsoft (я не в окнах, не знаю, как это работает). Создайте зону для domain.com используя вас внутренний адресов и разрешить ему быть рекурсивным сервером для всех других доменов.

Затем вам нужно будет настроить все свои ПК на использование этого нового сервера в качестве единственного DNS-сервера, используя DHCP, через настройки вашего маршрутизатора или с ручной настройкой на каждом ПК.

Да, предоставленная вами ссылка хорошая. Это называется Просмотры в привязке DNS-сервера. Кажется, невозможно использовать DNS-сервер Microsoft.

При связывании одна и та же зона определяется дважды: одна с общедоступными IP-адресами, а другая с частными IP-адресами. Затем DNS-сервер настраивается на использование каждого из них на основе исходных IP-адресов клиентов.

Я просто хочу перенаправить внутренний трафик, чтобы он шел непосредственно на сервер в сети, а не через Интернет. Я покажу вам оба варианта трафика LAN и WAN.

================================================== =========================

# 1 - ЖЕСТКИЙ брандмауэр, вам нужно открыть порт 53 UDP и (TCP, если необходимо).

Таким образом, (для внешних пользователей) site.domain.com -> 111.222.111.12 должен быть настроен на статический DNS на каждом ВНЕШНЕМ ОБЩЕСТВЕННОМ ноутбуке, телефоне, рабочем столе или чем-либо еще. Записи Godaddy A обновлены с помощью Public Host или IP.

Я предполагаю, что вы фильтруете весь трафик из ОДНОГО Ящика. С серверами MS я использую установленный на нем SimpleDNS. Ваше ИМЯ ХОСТА можно легко указать на статический или динамический IP. Вы можете использовать имя хоста или IP-адрес. В этом примере это будет IP, потому что разрешить статические имена хостов не проблема, но для динамических Ips вам понадобится то, что называется TTL с низким числом. KISS позволяет упростить это. В любом случае простой DNS делает все это. Я не использую записи A с Microsoft, но вы можете указать локальный IP-адрес с помощью DNS.

================================================== =============

Убедитесь, что IP-адрес DNS-сервера - частный IP-адрес.

192.168.1.200 = IP этого DNS-сервера

255.255.255.0

192.168.1.1 = ip брандмауэра

192.168.1.200 = DNS после установки и активации SimpleDNS 192.168.1.1 = перед установкой simpleDNS, иначе нет доступа в Интернет.

==============================================

Помните, что вы указали своему пластиковому или металлическому брандмауэру открыть или ПЕРЕДАТЬ этот локальный IP 192.168.1.200 на порт 53 UDP и TCP. Таким образом, любой запрос на ЛЮБОЙ веб-сайт (-а) сначала будет проходить от общественности извне в ваш личный ящик 192.168.1.200. Я обещаю, что некоторые противные люди будут пытаться украсть ваши вещи ... многие из них, много плохих людей. Если вы новичок, СТОП и платите кому-то профессионалу, иначе ваши коммерческие секреты будут опубликованы в сети или в офисе юриста. Это, наверное, самая важная настройка периода безопасности. Помните, что ПОРТ 53 открыт для всех и НЕ ЗАКРЫВАЕТСЯ, в отличие от других временных случайных портов. Да, рекурсия исправляет это, но снова .....

Понял? Теперь ваш общедоступный IP-адрес 111.222.111.12 будет пересылать все запросы DNS-порта 53 на этот конкретный компьютер в вашем офисе 192.168.1.200, когда вы находитесь вне своего локального IP-адреса. Когда вы локально подключены к его dns 192.168.1.200 как dns 1

Все внешние специалисты должны добавить TCP / IPV4 ИСПОЛЬЗУЙТЕ СЛЕДУЮЩИЕ АДРЕСА СЕРВЕРА DNS: DNS 1: 111.222.111.12

Все ваши внутренние сотрудники (используйте права администратора для предотвращения обхода DNS) ИСПОЛЬЗУЙТЕ СЛЕДУЮЩИЕ АДРЕСА СЕРВЕРА DNS: DNS 1: 192.168.1.200

опять же, ТО 111.222.111.12 общедоступный IP-трафик будет идти в ваш офис ТОЛЬКО на эту машину 192.168.1.200, а не на любую другую машину.

Последнее, что вы хотите, это один из ваших сотрудников ВНЕ используя свои ноутбуки для порно или других вещей. Теперь вы можете остановить это без VPN и предотвратить головную боль длиной в 5 долларов :)

Смущенный ? это очень сложная тема для понимания для некоторых, но для некоторых компаний это требование закона. Только для трафика LAN вышеуказанное будет нормально. Для дорожных воинов вы хотите отфильтровать все, если W2. Запретить все, кроме одобренных веб-сайтов. Если 1099, значит, там собственная плотина. Надеюсь, что эти добавленные базовые шаги помогут кому-то еще, ищущему большего.