Por que os guias de configuração do DNS estão usando endereços IP privados em seus exemplos?

Question

Por que os guias de configuração do DNS estão usando endereços IP privados em seus exemplos?

#1 resposta do (2 votos)

1

Estou tentando configurar o BIND9 no meu servidor e estou tentando seguir um guia que encontrei on-line. Uma coisa que dispara um alerta para mim é que todos os guias que encontrei parecem usar endereços IP privados em seus exemplos. No entanto, sempre que uso um serviço DNS de terceiros como o CloudFlare, sempre coloco endereços IP públicos, em vez de um endereço 192.168.* .

Agora, eu entendo que isso ocorre porque os serviços de DNS de terceiros não têm acesso ao meu servidor da web por meio de um IP privado (claro), portanto, um endereço IP público é a única maneira de acessar meu servidor, mas Parece um pouco estranho ter um servidor DNS retornar um endereço IP privado para uma consulta. O usuário não tentaria se conectar a esse IP privado em sua própria rede ?

tl; dr? Resumindo:

Configure o BIND9, orienta os IPs privados de uso on-line. Essa dig saída será resolvida?

julian@server:~$ dig @123.456.789.101 www.example.org

; <<>> DiG 9.8.1-P1 <<>> @123.456.789.101 www.example.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58151
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.example.org.           IN      A

;; ANSWER SECTION:
www.example.org.    10800   IN      CNAME   example.org.
example.org.        10800   IN      A       192.168.182.55

;; AUTHORITY SECTION:
example.org.        10800   IN      NS      ns1.example.org.
example.org.        10800   IN      NS      ns2.example.org.

;; ADDITIONAL SECTION:
ns1.example.org.    10800   IN      A       192.168.182.55
ns2.example.org.    10800   IN      A       192.168.182.55

;; Query time: 2 msec
;; SERVER: 123.456.789.101#53(123.456.789.101)
;; WHEN: Sat Mar 16 18:07:02 2013
;; MSG SIZE  rcvd: 135

dns bind dig

por Julian H. Lam 16.03.2013 / 23:46

1 resposta

Tags dns bind dig

Não é possível conectar-se ao Terminal Server com o cliente Mac OS X O Windows não reconhece a pasta, o cygwin / linux não reconhece

score 2 · Accepted Answer

Os arquivos que você dá ao BIND informam ao BIND o que deve ser retornado para consultas (autoritativas) ou onde vão resolvê-los (não autoritativos). Ele retornará qualquer endereço que você fornecer.

Sim, você pode ter um BIND em execução em sua rede local, resolvendo nomes para sua LAN que consistem em IPs privados. Esse BIND não precisa estar acessível à Internet em geral para que essa função funcione.

Sim, se a instância do BIND estiver acessível através do seu roteador NAT, ele retornará esses IPs se o servidor for consultado. Um BIND destinado apenas para uso privado acessível publicamente pode vazar detalhes da sua rede.

Exemplos de livros normalmente usam intervalos IP privados para impedir que pessoas cegamente copiem exemplos e causem tráfego indevido a terceiros inocentes - também não é incomum a execução de um servidor DNS em uma LAN que usa intervalos IP em um intervalo privado.

O servidor DNS na sua rede doméstica não será acessível por ninguém, a menos que:

Seu IP público estático é registrado em um servidor DNS da zona raiz global, que identifica esse IP público como uma zona autoritativa para um determinado domínio. A especificação de um IP privado não pôde ser usada aqui.
Você convence alguém a usar seu servidor DNS publicamente acessível (o que será problemático, mas não impossível, se o seu ISP fornecer um IP dinâmico). Para isso, para resolver IPs de qualquer domínio diferente do seu, você teria que configurar seu BIND para usar um DNS global como um encaminhador (basicamente encaminhando todas as pesquisas de DNS localmente não resolvidas para outro servidor como o OpenDNS). Eles também receberiam seus IPs privados que não funcionariam em sua rede local, a menos que por coincidência. Esta é uma idéia tola (a menos que você realmente queira juntar duas LANs através de uma VPN ou algo esotérico) e geralmente não o que você quer fazer.

O arquivo acima funcionará, mas provavelmente não será útil para você, a menos que você realmente queira que os programas pesquisem via DNS ns1.example.org e obtenham o endereço IP 192.168.182.55 e assim por diante.