Вопрос по настройке внутреннего DNS

0

0

Планирую настройку внутреннего DNS для разрешения intranet-адресов. Почитала некоторую инфо на эту тему, что есть два варианта, когда: 1. на одном DNS-сервере, располагающемся в DMZ, описываются как локальные сети, так и внешние (исп-ся директива view). 2. отдельный DNS-сервер для локальной сети и отдельный DNS-сервер для Internet. И более надежным является второй вариант, по которому мне и требуются ваши уточнения.

Кратко о конфигурации: часть серверов (интернет-сервисы) расположены в DMZ, еще несколько - в локалке. К тем, что в локалке доступ снаружи осуществляется через NAT. Понятно, надо чтобы: когда локальная машина обращается к локальному серверу -> для разрешения имени она пользуется внутренним DNS. Запрос снаружи к этому же серверу, отрабатывает внешний DNS.

Если named.conf на внутреннем DNS настроить след. образом:

options { directory "/var/named"; forward first; forwarders {external_dns_ip;}; };

zone "internal_reverse_zone.in-addr.arpa" in{ type forward; forward first; forwarders {internal_dns_ip;}; }; zone "domain.com" in{ type forward; forward first; forwarders {internal_dns_ip;}; };

Надо, чтобы та же зона domain.com описывалась и на внешнем DNS для DMZ-шных серверов.

Возможно ли в этом случае добиться такой ситуации: локальная машина обращается к локальному серверу и для разрешения имени host1.domain.com она пользуется внутренним DNS, т.к. правила type forward; forward first; forwarders {internal_dns_ip;}; , относящиеся к конкретной зоне, более приоритетные, чем те, что заданы в options в начале named.conf. В этом случае все хорошо работает. Далее локальная машина обращается к DMZ-серверу и для разрешения имени host2.domain.com она должна пользоваться внешним DNS. Но этого видимо не произойдет, т.к. внутренний DNS просмотрев А-записи для домена domain.com и не найдя там искомого сервера, вряд ли станет после этого еще переправлять этот запрос к своему основному форвардеру - внешнему DNS. Так ведь?

Т.е. для серверов, находящихся в локальной сети, надо придумать свой внутренний домен, и описать его во внутреннем DMZ?

Ссылка

←	Dynamic update DNS

Не работает прозрачное проксирование.

→

В тексте вопроса сбилось форматирование для примера конфигурации named.conf, привожу его снова:

options {
directory "/var/named";
forward first;
forwarders {external_dns_ip;};
};

zone "internal_reverse_zone.in-addr.arpa" in{
type forward;
forward first;
forwarders {internal_dns_ip;};
};
zone "domain.com" in{
type forward;
forward first;
forwarders {internal_dns_ip;};
};

anonymous
(12.12.06 02:51:42 MSK)

Ответ на: комментарий от anonymous 12.12.06 02:51:42 MSK

сделай внутренний домен с именем не возможным в интернете -например domain.local и все машины внутри сети чтобы имели имена в этом домене user.domain.local тогда можно обойтись одним dns-сервером

anonymous
(12.12.06 12:39:22 MSK)

Ссылка

Ответ на: комментарий от anonymous 12.12.06 02:51:42 MSK

acl corpnets {
192.168.1.0/24;
127.0.0.1/8;
};
//---------------------------------------------------------------
view "internal" {
//---------------------------------------------------------------
match-clients { "corpnets"; };

recursion yes;

allow-recursion { "corpnets"; };
allow-transfer { "corpnets"; };

provide-ixfr yes;
request-ixfr yes;

zone "." in {
type hint;
file "local/named.root";
};

zone "localhost" IN {
type master;
file "local/localhost.zone";
allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "local/localhost.rev";
allow-update { none; };
};
Ну и файл внутренней зоны your.domain.ru - здесь же.
}; // end of "internal" view.
//---------------------------------------------------------------
view "external" {
//---------------------------------------------------------------

match-clients { "extnet"; };
recursion no;

zone "." in {
type hint;
file "local/named.root";
};

zone "localhost" IN {
type master;
file "local/localhost.zone";
allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "local/localhost.rev";
allow-update { none; };
};
Здесь - файлик внешней зоны. С одним и тем же именем your.domain.ru
}; // end of "external" view.

z2v ★
(13.12.06 13:55:25 MSK)

Ответ на: комментарий от z2v 13.12.06 13:55:25 MSK

А ну да.
Совершенно очевидно, что зоны называются одинаково your.domain.ru, но
файля, отвечающие за зоны - разные. Один описывает ВНУТРЕННИЕ ресурсы,
другой, что характерно, исключительно ВНЕШНИЕ.

z2v ★
(13.12.06 13:57:34 MSK)

Ответ на: комментарий от z2v 13.12.06 13:57:34 MSK

Спасибо за помощь. Но не все так однозначно в моей ситуации. По поводу директивы view.
Сначала для наглядности более простой пример её представления:
view "internal" {
match-clients {192.168.1.0/24; 127.0.0.1; };
zone "test.com" IN {
type master;
...
...
};
};
view "external" {
match-clients { any; };
recursion no;
zone "test.com" IN {
type master;
...
...
};
};

Теперь такая ситуация:

локальная машина обращается к DMZ-серверу и для разрешения имени dmzhost.test.com она должна пользоваться частью view "external", т.к. это внешний ресурс и описывается там.
Но ведь запрос пришел из локальной сетки и соответствует правилу match-clients {192.168.1.0/24; 127.0.0.1; }; из view "internal". А в файле, описывающем внутренние ресурсы, нету DMZ-серверов.
Вопрос: будет ли тогда продолжен поиск IP для хоста dmzhost.test.com в файле, описывающем внешние ресурсы домена test.com?

anonymous
(13.12.06 15:20:49 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Dynamic update DNS

Admin

Не работает прозрачное проксирование.

→

Похожие темы