Публичная запись DNS с локальным IP

1076
NeutronCode

У нас есть набор внутренних сервисов, используемых нашими бизнес-приложениями.

Некоторые из них определены IP. Мы думаем о замене их всех служебными поддоменами, вместо этого указывая на частный IP.

Пример:

  • data.corp.com
  • reporting.corp.com

Мы могли бы добавить это к нашему маршрутизатору и просто сделать их частными, но из-за VPN и офисов по всему миру этого было бы недостаточно.

Поэтому мы думаем о создании поддоменов для реального домена и привязке их к локальным IP-адресам.

Это против рекомендаций? Это как бы раскрывает нашу внутреннюю структуру и частные IP-адреса для всех наших служб, и если кто-то получит доступ к сети, он знает, где искать.

Кроме этого я не вижу опасности.

0
Под «локальным IP» вы подразумеваете внутренний IP, такой как 192.168.xx? Вы не сможете разрешить «локальный IP-адрес», если субдомен был зарегистрирован в ваших общедоступных записях DNS ... необходимо сопоставить общедоступный DNS-домен субдомена с общедоступным IP-адресом для сервера. Т.е. вам нужно настроить переадресацию портов или иметь сервер / межсетевой экран в DMZ. Kinnectus 9 лет назад 0
Домен должен использовать только тот, у кого есть доступ к IP, те, которые находятся в одной частной сети. Так не может, не должно или приемлемое решение? NeutronCode 9 лет назад 0
Настройте частный DNS-сервер, доступный для любой части вашей сети. Убедитесь, что ваш DHCP-сервер передает IP-адрес этого сервера в качестве DNS-сервера всем вашим клиентам. Добавьте записи A для ваших частных IP-адресов на этом сервере. MaQleod 9 лет назад 0

1 ответ на вопрос

0
milli

Что вам действительно нужно сделать, так это настроить отдельные зоны DNS для внутреннего и внешнего потребления, где внешнее представление является подмножеством внутреннего представления и содержит только имена, которые относятся к записям A в общедоступном IP-адресном пространстве, доступном из общедоступного Интернета ( брандмауэр), а внутреннее представление имеет все и доступно всем бизнес-пользователям, которые находятся во внутренней сети, включая тех, кто использует VPN, чтобы «проникнуть внутрь». Это очень часто и может быть сделано с «представлениями» на одном DNS-сервере, или у вас может быть два разных набора DNS-серверов, все зависит от того, что вы используете для службы DNS.

Google - твой друг, ищи "разделить DNS и BIND". Много примеров / как там.