В настоящее время я работаю в компании, у которой есть два DNS-сервера (ns1 и ns2), открытые для Интернета в DMZ, и размещены две зоны: company.org и company.net. В обеих зонах есть серверы в DMZ и во внутренней LAN, а на DNS-сервере включена рекурсия.
Я думал о том, чтобы сделать это: перенастроить все серверы в DMZ, чтобы иметь полное доменное имя server.company.org и во внутренней локальной сети server.company.net. А затем создайте DNS-сервер в DMZ с зоной company.org и другой DNS-сервер во внутренней локальной сети, на котором размещена только зона company.net.
Это мудро или есть лучшее решение? При использовании этого, рекурсия какого DNS-сервера должна быть включена или отключена? А как насчет пересылки?
Огромное спасибо.
Вы четко не сформулировали свои цели, поэтому дать конкретную рекомендацию сложно.
Однако для простоты управления и безопасности использование одного домена для общедоступных сервисов, а другого для внутренних сервисов является полезным, хотя технически не требуется.
Например, вы можете разместить все общедоступные сервисы в одном домене. Затем используйте поставщика услуг DNS или своего регистратора для управления записями DNS для этого домена. Это позволит вам прекратить работу DNS-сервера в вашей DMZ.
Внутри вы можете проверить, какие службы DNS предоставляет ваше сетевое оборудование, если таковые имеются. Некоторые сетевые устройства могут позволить вам управлять DNS прямо на вашем устройстве.
Если нет, то рассмотрите небольшую систему VPS, предназначенную для внутреннего DNS. Вы можете опубликовать свои собственные записи для внутренних ресурсов, а затем настроить систему для обработки рекурсии и кэширования DNS. Таким образом, IP-адреса и домены для внутренних ресурсов не могут быть обнаружены публично.
На своем внутреннем сервере вы можете использовать настройку DNS с прямым кэшированием, которая использует такие службы, как OpenDNS или Google DNS для рекурсии. Эти общедоступные службы DNS включают некоторые функции безопасности, которых нет в вашей собственной рекурсии DNS. Часто это простой и недорогой способ добавить дополнительную безопасность в сеть небольшого офиса или филиала.