Назад | Перейти на главную страницу

dnsmasq: один домен, наполовину частный, наполовину публичный?

Наша внутренняя офисная сеть имеет тот же домен верхнего уровня, что и наша компания в Интернете, например ourdomain.com.

Для внешнего мира любые общедоступные хосты (например, blog.ourdomain.com, download.ourdomain.com, www.ourdomain.comи т. д.) настроены в DNS нашего хостера домена, AWS Route 53.

Для корпоративной интрасети мы используем простой dnsmasq для DHCP и DNS (и VPN, но это уже другая история); разрешение имен для внутренних серверов и настольных компьютеров (например, ноутбуков с адресами DHCP) в офисе работает нормально. В dnsmasq экземпляр недоступен для публики.

Пока мы говорим dnsmasq о наших публичных серверах, поддерживая файл /etc/hosts.dnsmasq что входит в основные /etc/dnsmasq.conf по линии addn-hosts=/etc/hosts.dnsmasq, похож на хорошо известный /etc/hosts и имеет следующий образец содержимого:

12.34.56.78    blog
12.34.56.79    download
12.34.56.80    www

Мы ведем этот файл вручную, что становится громоздким. Мы хотим избавиться от этого и улучшить наши dnsmasq setup, чтобы он делал следующее:

  1. если dnsmasq имеет "собственную" информацию DNS (например, DHCP или статический IP-адрес, связанный с именем хоста) для запроса из внутренней офисной сети, обслуживает эту
  2. в противном случае запросите общедоступный DNS и отправьте результат обратно запрашивающему в интрасети.

Вопрос: Это можно сделать с помощью dnsmasq ? Требуется ли поддомен для офисной сети? (чего мы хотели бы избежать, если возможно). Если да, то как? У меня такое чувство, что я, должно быть, прошел через dnsmasq документы сто раз; они великолепны, но я мог бы просто смотреть на решение, а не видеть его.

Также: Насколько я понимаю, такая установка отличается от раздвоение мозга DNS, поскольку мы не используем один сервер имен, возвращающий разные ответы в зависимости от того, откуда исходит запрос, а используем общедоступный и частный сервер имен для одного и того же домена.

Это обычная установка? Если нет, то есть ли у организаций канонический способ настройки DNS, когда они используют один и тот же TLD как для публичного, так и для частного присутствия?

Это обычная установка?

Я видел несколько вопросов о ServerFault с просьбой установить такую ​​же настройку, как вы хотите, поэтому я предполагаю, что это обычная настройка. Но поскольку это на самом деле невозможно, я бы сказал, что это обычная настройка администраторов, которые не очень понимают, как работает DNS. (Извините, я не хочу обидеть вас - ни кого-либо еще на этом форуме).

Я дал возможный ответ на вопрос, где размещается как внутренний DNS-сервер, так и внешний DNS-сервер. Вот. Однако в этом ответе в качестве DNS-сервера используется BIND, а не dnsmasq.

Это выполнимо (с dnsmasq)?

Как было сказано ранее, невозможно быть авторитетным для данной зоны и перенаправьте запрос на другой сервер имен, если у вас нет ответа. Ответ, который я дал на другой вопрос, - это обходной путь.

Есть ли у организаций канонический способ настройки DNS, когда они используют один и тот же домен как для публичного, так и для частного присутствия?

Я бы сказал, что они либо используют поддомен внутри компании, либо используют раздельный DNS. Записи, которые должны находиться как во внутреннем, так и во внешнем виде, необходимо копировать в обе зоны. Это можно упростить с помощью автоматизации (например, Ansible).