forum.opennet.ru - "DNS-сервер за шлюзом" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"DNS-сервер за шлюзом"

Форум Открытые системы на сервере (DNS / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"DNS-сервер за шлюзом"	–1 +/–
Сообщение от feint (ok) on 30-Июл-12, 02:09
Доброго времени суток! Не могу понять (запутался), какие вносить записи о зонах, а точнее какие IP-адреса сопоставлять в файле зоны. Небольшая предыстория: До недавнего времени на входе в локальную сеть стоял сервер, выполняющий роль шлюза и вэб-сервера и почтовика. На данном сервере работали службы DNS, HTTP, почтовик и т.п. В данный момент решил разделить функции на 3 серврера, собственно 1-прокси, 2-вэб-сервер с DNS и 3-почтовик. 1.Шлюз с адресом выданным провайдером аля 91.201.х.х, обрабатывает запросы пользователей, и работает как DNS из локальных подсетей 192.168.х.х с локальным адресом смотрящим в сеть 192.168.0.1. Он же получает запросы о из интернета и по 53 порту TCP\UDP пересылает на DNS-сервер с HTTP (внутрь локальной сети). 2.Собственно этот DNS (с предустановленным BIND), и адресом 192.168.0.100 работает как master. А вот slave сервер в другом филиале с адресом 91.211.х.х. На сколько я правильно понимаю в "named.conf" у меня должно быть нечто вроде: #слушать внутренний адрес шлюза listen-on {localhost; 192.168.0.1; }; #передача зоны slave allow-transfer{91.211.х.х; }; #обработка запросов и рекурсий allow-query{192.168.0.1; }; allow-recursion {192.168.0.1; }; #перенаправляющие запросы провайдеру forwarders {192.168.0.1; }; zone «example.com» IN { type master; fi le «example.com»; }; zone «168.192.in-addr.arpa» { type master; fi le «168.192.rev»; }; Далее привожу файлы: Файл "example.com" @ IN SOA ns1.example.com. ( 1 ; serial 28800 ; refresh 7200 ; retry 604800 ; expire 86400 ; ttl ) IN NS ns1.example.com. IN NS ns2.example.com. IN MX 10 mail.example.com. @ IN A 192.168.0.100 ns1 IN A 192.168.0.100 ns2 IN A 91.211.х.х; mail IN A 192.168.0.99 //адрес почтового сервера на который так же пересылается все со шлюза www IN A 192.168.0.100 Файл "168.192.rev" @ IN SOA ns1.example.com. ( 1 ; serial 28800 ; refresh 7200 ; retry 604800 ; expire 86400 ; ttl ) IN NS ns1.example.com. IN NS ns2.example.com. 100.0 IN PTR example.com. Появляется резонный вопрос нужно ли прописывать внешний IP-адрес (выданный провайдером) в файл зоны в качестве DNS-записи , или все будет работать с таким конфигом
Ответить \| Правка \| Cообщить модератору

Оглавление

DNS-сервер за шлюзом, PavelR, 04:45 , 30-Июл-12, (1)

DNS-сервер за шлюзом, feint, 11:44 , 30-Июл-12, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "DNS-сервер за шлюзом" +/–

Сообщение от PavelR (ok) on 30-Июл-12, 04:45

Если
> 2.Собственно этот DNS (с предустановленным BIND), и адресом 192.168.0.100 работает как
> master.
то:
>#слушать внутренний адрес шлюза
>listen-on {localhost; 192.168.0.1; };
сервер с IP 192.168.0.100 не сможет "слушать внутренний адрес шлюза" 192.168.0.1
>#передача зоны slave
>allow-transfer{91.211.х.х; };
Так всё-таки внешний мир будет стучаться к какому серверу?
К этому? :
> 1.Шлюз с адресом выданным провайдером аля 91.201.х.х ... он же получает запросы о из
>интернета и по 53 порту TCP\UDP пересылает на DNS-сервер с HTTP (внутрь локальной сети).
тогда внутренний сервер увидит реальный IP только если будет идти проброс портов.
А в этом случае
> #обработка запросов и рекурсий
> allow-query{192.168.0.1; };
allow-query - запрещать не надо, на ваш мастер будет ходить весь мир.
Опять же, если
>1.Шлюз с адресом выданным провайдером аля 91.201.х.х, обрабатывает запросы
>пользователей, и работает как DNS из локальных подсетей 192.168.х.х то нафига нужны
> allow-recursion {192.168.0.1; };
> #перенаправляющие запросы провайдеру
> forwarders {192.168.0.1; };
?
Локалка будет делать запросы к "шлюзу".

---------
Резюме: вы перемудрили, решив организовать 2 (два) DNS-сервера, один на шлюзе, второй внутри локалки.
------------
Смотрим "Файл "example.com"
Видим в нем IP-адреса серой сети 192.168.0.х.
Если это зона для внутреннего использования, то и делайте её полностью внутренней. Но это не ваш случай.
Объясняю: всё что вы пишете в этот файл - видит весь мир. И пытается по этим адресам соединиться. Никто и никогда не сможет соединиться с вашим внутренним 192.168.0.100.
Мир может соединиться только с вашим реальным IP, и именно он должен быть прописан в качестве A - записей, в частности почтового сервера, веб-сервера и DNS-сервера ns1.
Что вы дальше будете делать с соединениями, которые пришли на ваш наружный реальный IP, как вы их будете обрабатывать и будете ли пробрасывать внутрь локалки - это ваше лично интимное дело, и в DNS-ах не светится.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "DNS-сервер за шлюзом" +/–

Сообщение от feint (ok) on 30-Июл-12, 11:44

> сервер с IP 192.168.0.100 не сможет "слушать внутренний адрес шлюза" 192.168.0.1
не совсем понятно почему не сможет? есть подозрение что из-за последнего байта в адресе, могу конечно изменить...
>>#передача зоны slave
>>allow-transfer{91.211.х.х; };
> Так всё-таки внешний мир будет стучаться к какому серверу?
> К этому? :
>> 1.Шлюз с адресом выданным провайдером аля 91.201.х.х ... он же получает запросы о из
>>интернета и по 53 порту TCP\UDP пересылает на DNS-сервер с HTTP (внутрь локальной сети).
Мир будет стучаться в 91.201.х.х и 91.211.х.х
А шлюз 91.201.х.х форвардит на DNS-сервер.
Думаю здесь стоит немного уточнить, есть несколько доменных имен, DNS которых ссылается
на мои IP-адреса, NS1 = 91.201.х.х и NS2 = 91.211.х.х
Можно было бы изменить, но один из админов (бывших), оформил их на себя, найти его не могу.
> тогда внутренний сервер увидит реальный IP только если будет идти проброс портов.
> А в этом случае
>> #обработка запросов и рекурсий
>> allow-query{192.168.0.1; };
> allow-query - запрещать не надо, на ваш мастер будет ходить весь
> мир.
Понял!
> Опять же, если
>>1.Шлюз с адресом выданным провайдером аля 91.201.х.х, обрабатывает запросы
>>пользователей, и работает как DNS из локальных подсетей 192.168.х.х то нафига нужны
>> allow-recursion {192.168.0.1; };
>> #перенаправляющие запросы провайдеру
>> forwarders {192.168.0.1; };
> ?
Согласен allow-recursion и forwarders нафик не нужны!
> Локалка будет делать запросы к "шлюзу".
> Резюме: вы перемудрили, решив организовать 2 (два) DNS-сервера, один на шлюзе, второй
> внутри локалки.
Ну на мой взгляд это оптимально с точки зрения безопасности, потому как шлюз тесно взаимосвязан с АД, собирает отчеты пользователей по трафику и т.п. Не хотелось бы иметь "все яйца в одной корзине" =), да и лишние сервисы (LAMP) к кот. можно получить доступ из инета как-то есть потенциальная уязвимость с которой не хотелось бы пересекать подсеть с пользователями вообще.

> Смотрим "Файл "example.com"
> Видим в нем IP-адреса серой сети 192.168.0.х.
> Если это зона для внутреннего использования, то и делайте её полностью внутренней.
> Но это не ваш случай.
> Объясняю: всё что вы пишете в этот файл - видит весь мир.
> И пытается по этим адресам соединиться. Никто и никогда не сможет
> соединиться с вашим внутренним 192.168.0.100.
> Мир может соединиться только с вашим реальным IP, и именно он должен
> быть прописан в качестве A - записей, в частности почтового сервера,
> веб-сервера и DNS-сервера ns1.
Спасибо, все понял! Так вообщем то и подумал, просто возникли сомнения

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "DNS-сервер за шлюзом"	+/–
Сообщение от PavelR (ok) on 30-Июл-12, 04:45
Если > 2.Собственно этот DNS (с предустановленным BIND), и адресом 192.168.0.100 работает как > master. то: >#слушать внутренний адрес шлюза >listen-on {localhost; 192.168.0.1; }; сервер с IP 192.168.0.100 не сможет "слушать внутренний адрес шлюза" 192.168.0.1 >#передача зоны slave >allow-transfer{91.211.х.х; }; Так всё-таки внешний мир будет стучаться к какому серверу? К этому? : > 1.Шлюз с адресом выданным провайдером аля 91.201.х.х ... он же получает запросы о из >интернета и по 53 порту TCP\UDP пересылает на DNS-сервер с HTTP (внутрь локальной сети). тогда внутренний сервер увидит реальный IP только если будет идти проброс портов. А в этом случае > #обработка запросов и рекурсий > allow-query{192.168.0.1; }; allow-query - запрещать не надо, на ваш мастер будет ходить весь мир. Опять же, если >1.Шлюз с адресом выданным провайдером аля 91.201.х.х, обрабатывает запросы >пользователей, и работает как DNS из локальных подсетей 192.168.х.х то нафига нужны > allow-recursion {192.168.0.1; }; > #перенаправляющие запросы провайдеру > forwarders {192.168.0.1; }; ? Локалка будет делать запросы к "шлюзу". --------- Резюме: вы перемудрили, решив организовать 2 (два) DNS-сервера, один на шлюзе, второй внутри локалки. ------------ Смотрим "Файл "example.com" Видим в нем IP-адреса серой сети 192.168.0.х. Если это зона для внутреннего использования, то и делайте её полностью внутренней. Но это не ваш случай. Объясняю: всё что вы пишете в этот файл - видит весь мир. И пытается по этим адресам соединиться. Никто и никогда не сможет соединиться с вашим внутренним 192.168.0.100. Мир может соединиться только с вашим реальным IP, и именно он должен быть прописан в качестве A - записей, в частности почтового сервера, веб-сервера и DNS-сервера ns1. Что вы дальше будете делать с соединениями, которые пришли на ваш наружный реальный IP, как вы их будете обрабатывать и будете ли пробрасывать внутрь локалки - это ваше лично интимное дело, и в DNS-ах не светится.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "DNS-сервер за шлюзом"	+/–
	Сообщение от feint (ok) on 30-Июл-12, 11:44
	> сервер с IP 192.168.0.100 не сможет "слушать внутренний адрес шлюза" 192.168.0.1 не совсем понятно почему не сможет? есть подозрение что из-за последнего байта в адресе, могу конечно изменить... >>#передача зоны slave >>allow-transfer{91.211.х.х; }; > Так всё-таки внешний мир будет стучаться к какому серверу? > К этому? : >> 1.Шлюз с адресом выданным провайдером аля 91.201.х.х ... он же получает запросы о из >>интернета и по 53 порту TCP\UDP пересылает на DNS-сервер с HTTP (внутрь локальной сети). Мир будет стучаться в 91.201.х.х и 91.211.х.х А шлюз 91.201.х.х форвардит на DNS-сервер. Думаю здесь стоит немного уточнить, есть несколько доменных имен, DNS которых ссылается на мои IP-адреса, NS1 = 91.201.х.х и NS2 = 91.211.х.х Можно было бы изменить, но один из админов (бывших), оформил их на себя, найти его не могу. > тогда внутренний сервер увидит реальный IP только если будет идти проброс портов. > А в этом случае >> #обработка запросов и рекурсий >> allow-query{192.168.0.1; }; > allow-query - запрещать не надо, на ваш мастер будет ходить весь > мир. Понял! > Опять же, если >>1.Шлюз с адресом выданным провайдером аля 91.201.х.х, обрабатывает запросы >>пользователей, и работает как DNS из локальных подсетей 192.168.х.х то нафига нужны >> allow-recursion {192.168.0.1; }; >> #перенаправляющие запросы провайдеру >> forwarders {192.168.0.1; }; > ? Согласен allow-recursion и forwarders нафик не нужны! > Локалка будет делать запросы к "шлюзу". > Резюме: вы перемудрили, решив организовать 2 (два) DNS-сервера, один на шлюзе, второй > внутри локалки. Ну на мой взгляд это оптимально с точки зрения безопасности, потому как шлюз тесно взаимосвязан с АД, собирает отчеты пользователей по трафику и т.п. Не хотелось бы иметь "все яйца в одной корзине" =), да и лишние сервисы (LAMP) к кот. можно получить доступ из инета как-то есть потенциальная уязвимость с которой не хотелось бы пересекать подсеть с пользователями вообще. > Смотрим "Файл "example.com" > Видим в нем IP-адреса серой сети 192.168.0.х. > Если это зона для внутреннего использования, то и делайте её полностью внутренней. > Но это не ваш случай. > Объясняю: всё что вы пишете в этот файл - видит весь мир. > И пытается по этим адресам соединиться. Никто и никогда не сможет > соединиться с вашим внутренним 192.168.0.100. > Мир может соединиться только с вашим реальным IP, и именно он должен > быть прописан в качестве A - записей, в частности почтового сервера, > веб-сервера и DNS-сервера ns1. Спасибо, все понял! Так вообщем то и подумал, просто возникли сомнения
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору