Назад |
Перейти на главную страницу
powerdns как внутренний преобразователь, за брандмауэром
У меня немного странная настройка с powerdns:
- Для домена нашей компании xxx.de у нас есть четыре записи NS в общедоступном Интернете (в Nexinto). Мы запускаем скрытый первичный сервер (называемый dns-ext) с помощью Powerdns / Poweradmin, это пока работает хорошо.
- Внутри нашей сети на основе Windows AD мы используем внутренний DNS-сервер Windows (называемый ad-master; домен нашей компании НЕ является доменным именем AD, чтобы избежать путаницы!)
- У нас есть еще один сервер (называемый dns-int) внутри локальной сети с Powerdns / Poweradmin, который обслуживает внутренний вид xxx.de; сервер AD настроен для пересылки запросов машин компании на этот сервер
- dns-int запускает pdns-recursor на UDP53 и pdns (авторитетная часть) на UDP / 54; Рекурсор настроен для пересылки запросов к xxx.de на localhost: 54
- из-за ограничений сетевой безопасности dns-int не может напрямую подключаться к Интернету, а «восходящие» DNS-запросы должны проходить через прокси-сервер DNS.
Проблема в том, что прямо сейчас, когда мне нужны поддомены, я должен создать их как в dns-int, так и в dns-ext, даже если мне не нужен разделенный вид для этой зоны поддомена.
Поэтому я подумал: «Хорошо, установите в dns-int a.xxx.de NS a.prim-ns.de, поместите прямую запись для. = Ip_of_proxy, и он должен работать», но этого не произошло, потому что при запросе baxxx. de dns-int не может спросить на a.prim-ns.de - Powerdns пытался подключиться к a.prim-ns.de независимо от. вперед. Записи CNAME на общедоступные интернет-адреса терпят неудачу по той же причине - dns-int пытается разрешить CNAME, которая терпит неудачу и возвращает только запись CNAME в ad-master, а ad-master по какой-то причине не хочет разрешать эту запись CNAME. .
Нет способа получить исходящий доступ для dns-int - так как я могу заставить powerdns использовать прокси-сервер DNS для всех запросов, на которые он не может ответить?