В целях тестирования я обнаружил, что действительно полезно указывать something.machineIP.mydomain.com на 192.168.1.machineIP: таким образом мы можем тестировать код друг друга, не возясь с файлами хостов.
Я знаю, что это идентифицирует наши локальные IP-адреса для внешнего мира, но если бы кто-то мог получить доступ к сети, было бы тривиально обнюхать, какой из локальных IP-адресов все равно отвечает на порт 80.
Я чего-то не вижу?
Кредит за идею: http://news.ycombinator.com/item?id=1168896
Я делаю это с помощью нашего внутреннего DNS-сервера. У нас есть DNS-сервер, который обслуживает запросы только клиентов внутри нашего офиса, я просто добавил там несколько дополнительных зон и сказал ему, что он их авторитет. Таким образом, различные имена автоматически разрешаются во внутренние IP-адреса, но они не будут разрешены для тех, кто за пределами нашего офиса, кто не может использовать наш внутренний DNS-сервер. Нет необходимости в сложных вещах, связанных с «расщепленным горизонтом».
Чем меньше вы подвергаетесь внешнему миру, тем лучше. Никогда не знаешь, когда часть информации окажется полезной для потенциального злоумышленника. Дьявол, как всегда, в деталях.
В зависимости от вашей настройки, это может быть довольно легко использовать расщепленный горизонтальный DNS и разоблачить .int. только во внутреннюю сеть, что снижает этот риск. Если вы когда-нибудь пройдете аудит безопасности, это наверняка будет втираться вам в лицо, это простой выбор, поскольку трудно утверждать, что это не ненужное раскрытие информации.
Помимо этого, продолжайте, если вы правильно выполнили свою домашнюю работу в других областях (жесткие брандмауэры, DMZ, надежные и обязательные политики использования), не должно быть большого вреда в раскрытии нескольких IP-адресов RFC-1918.