Назад | Перейти на главную страницу

Разрешение полных доменных имен на DNS-сервере Mac из глобальной сети (внешняя)

Я в этом новичок, поэтому, пожалуйста, избавьте меня от палки. У меня следующая сетевая топология - Comcast Business Gateway <-> SonicWall TZ Router <-> LAN (серверы Mac OS X). Я использую свой MacPro в качестве DNS-сервера, и я подключил его статический IP-адрес LAN к моему маршрутизатору в качестве основного DNS-сервера. Я назначил полные доменные имена статическим IP-адресам различных других компьютеров в локальной сети на DNS-сервере. Я могу получить доступ к этим серверам через их полные доменные имена внутри локальной сети.

Однако вне локальной сети я совершенно не могу получить доступ к этим машинам через FQDN. Все мои полные доменные имена находятся в одном домене, например fqdn1.domainname.com/fqdn2.domainname.com и так далее. My domainname.com разрешает только один из серверов за маршрутизатором. У меня есть только один статический общедоступный IP-адрес (IP-адрес WAN), который сопоставлен с domainname.com.

У меня вопрос - как мне добраться до других машин через полные доменные имена? Где мне искать? Кроме того, требуется ли для каждого FQDN отдельный общедоступный статический IP-адрес (WAN IP)?

Очень признателен за вашу помощь в этом!

На самом деле вы спрашиваете о двух разных проблемах.

  1. Как я могу сделать компьютеры в моей локальной сети доступными из Интернета?
  2. Как мне настроить DNS так, чтобы имена компьютеров в моей локальной сети были разрешены в Интернете?

Первый вопрос сопряжен с наибольшим риском. Любой компьютер, к которому можно получить доступ из Интернета, является целью червей, хакеров и прочего зла. Создание DMZ поможет изолировать ваши общедоступные компьютеры, чтобы частные оставались приватными. Я настоятельно рекомендую вам провести исследование и понять, во что вы ввязываетесь, прежде чем начинать это. Учитывая, что у вас только один IP-адрес, вам нужно будет использовать Перенаправление порта чтобы сделать сервисы доступными с более чем одного компьютера.

Что касается второго вопроса, компьютеры, внешние по отношению к вашей локальной сети, не могут разрешить имена ваших внутренних компьютеров, потому что они не знают, где искать ответ. Компьютеры в вашей локальной сети знают, что нужно запрашивать ваш частный DNS-сервер, потому что они получили эту информацию через DHCP вместе со своим IP-адресом. Вам действительно стоит потратить некоторое время на изучение того, как DNS работает. Чтобы вы начали, первым делом зарегистрируйте свое доменное имя с регистратор.


Обновить: Вы зарегистрировали доменное имя? Это отличное начало. Я предполагаю, что вы «сопоставили» свое доменное имя со статическим IP-адресом вашего сервера с помощью веб-панели управления, предоставленной вашим регистратором домена, для создания записи «А». На этом этапе вы можете продолжить работу несколькими способами.

  1. Добавьте записи A в зону DNS вашего домена для каждой внутренней машины. Это называется разделенным DNS, потому что вы поддерживаете две копии одной и той же зоны DNS: одну для внутренних клиентов и одну для общедоступного Интернета.
  2. Делегируйте полномочия над субдоменом (например, internal.contoso.com) на ваш DNS-сервер с выходом в Интернет. Вы делаете это, создавая NS-запись. Это потребует некоторой перенастройки вашего сервера, так как вы будете получать доступ к хостам в формате host1.internal.contoso.com.

Также некоторые пояснения по терминологии; рассмотрим этот пример: foo.example.com

  • Часть "хост" или "имя хоста" foo
  • «Доменная» часть example.com
  • Полное доменное имя foo.example.com

Я понимаю требования безопасности, и я буду настраивать отдельные подсети DMZ и LAN. У меня есть краткое представление о DNS и о том, как он работает. Кроме того, у меня есть доменное имя, которое я сопоставил со своим статическим общедоступным IP-адресом.

Я в основном пытаюсь добраться до разных компьютеров в моей локальной сети (это будет аутентифицированный вход с сервера в DMZ, чтобы он не был небезопасным) через FQDN, которые в основном являются субдоменами моего доменного имени. Должен ли я использовать разные общедоступные статические IP-адреса (один для LAN и один для DMZ?).