Devo / Posso usar Registros DNS para listar “Hosts Particulares em LANs Privadas”?

6

Esta é uma questão teórica: Dado que eu tenho vários Servos que ambos têm um endereço IP público, bem como um endereço IP privado (intervalo 192.xxx). Ambos os Addess são usados para diferentes Serviços. Eu não quero trabalhar internamente (para a LAN privada) com IP Adresses, mas também com nomes de host, pois eles são muito melhores para lembrar:

Exemplo: foobar.myhost.com = > IP público 222.xxx e IP privado 192.xxx

Eu sei que posso usar o arquivo / etc / network / hosts para definir todos os nomes de host "Private LAN", mas isso é muito complicado e propenso a erros. Como eu tenho que manter todos esses arquivos em sincronia.

Quais são as Melhores Práticas / Suas Opções para usar os Registros DNS públicos padrão (do meu domínio) para listar também os Nomes Privados? Isso faz sentido? Isso, no entanto, revaloriza a estrutura da minha LAN privada, isso é bom? E os Registros DNS Públicos também listarão IPs Privados (isso é algo que eu nunca vi antes).

E o maior problema é: na verdade, eu queria ter um único nome de host, mas esse nome de host tinha um endereço IP público e privado. Existe alguma possibilidade de definir ambos nos Registros DNS (com o mesmo nome foobar.myhost.com), mas para diferenciar posteriormente entre os IP Adresss privados e pubplic?

Qualquer bom Blogpostings / Melhores Práticas / Artigos / Opiniões são muito apreciados.

Obrigado jens

    
por jens 16.11.2010 / 11:51

4 respostas

4

Existem várias maneiras diferentes de conseguir isso. Obviamente, você não quer criar registros A para os endereços IP públicos e privados e publicar esses registros para consumo público, porque os usuários tentarão acessar através do IP privado. Se vários registros A forem listados para um único nome, eles serão usados em um round robin, fazendo com que os usuários às vezes não consigam se conectar.

Aqui estão algumas soluções que usei:

Minha solução favorita é criar uma subzona DNS para esses servidores, talvez chamada "private.example.com". Em seguida, os servidores em "example.com" que possuem endereços IP privados listados na zona "private.example.com". Em seguida, configure seu /etc/resolv.conf (provavelmente via DHCP) para que, quando você estiver conectado à rede privada, seu caminho de pesquisa DNS seja "private.example.com example.com". Agora, se você tentar acessar "hostname", ele primeiro tentará pesquisar "hostname.private.example.com". e depois "hostname.example.com". Então você tem algum host nesse domínio que não tem IPs privados que você não precisa listar em vários lugares. Você também pode referenciar explicitamente o IP público dizendo "hostname.example.com" e de forma semelhante para o IP privado. Mas se você disser "hostname", ele procurará uma correspondência.

Observação: se terceiros perceberem que existe uma zona "private.example.com", eles poderão consultá-lo ou "pesquisá-lo" e ver o endereçamento IP. Revelar essas informações pode ser motivo de preocupação para você, dependendo de suas necessidades exatas, mas para minhas necessidades revelar alguns endereços IP privados nunca foi um problema.

Você pode configurar o que o BIND chama de "visualizações". Aqui está um link para outra pergunta que mostra um exemplo de configuração de visualizações . Basicamente, você configura as Listas de Controle de Acesso informando qual arquivo de zona usar para responder à solicitação com base em qual endereço IP está solicitando. Portanto, se você receber uma solicitação da rede privada, poderá responder com o IP privado. As visualizações podem ser difíceis de configurar e manter, no entanto. Há também uma questão de manter cópias duplicadas de registros nas diferentes visualizações, veja minha próxima sugestão para mais detalhes.

Se a sua rede privada tiver um host, você poderá executar o DHCP e o DNS, que são separados do seu servidor DNS público. Você pode configurar o DNS neste host como o servidor DNS padrão para máquinas na rede privada e, em seguida, configurar o servidor DNS para responder a consultas para essas máquinas usando os IPs privados. No entanto, se nem todas as máquinas nas zonas DNS em que você está interessado tiverem IPs privados, isso poderá levar à duplicação de registros, em que agora é necessário listar os endereços IP dos servidores nos dois servidores DNS. Semelhante ao Views acima, mas conceitualmente um pouco mais simples de configurar e testar, pois você tem servidores DNS completamente separados.

    
por 16.11.2010 / 14:27
2

Certamente, listar o intervalo de IP privado no mesmo servidor que os endereços públicos oficiais é uma má ideia. No entanto, se você estiver executando um servidor interno que não seja autoritativo para seu domínio (ou seja, acessível apenas por servidores internos), não haverá problemas técnicos para replicar os endereços públicos na mesma zona que os endereços privados (exceto a questão da atualização). os endereços que são alterados no servidor público). De fato, faz muito sentido fornecer um serviço DNS interno.

Há algum tempo atrás, eu escrevi um script para a configuração Vincular , mas observe que isso é destinado principalmente a cenários em que os endereços internos estão em um domínio separado dos endereços públicos. Estes dias (se você estiver rodando em Unix / Linux / POSIX) dnsmasq é uma solução melhor (com o benefício adicional de endereços DHCP).

    
por 16.11.2010 / 13:53
2

Se você não quiser mexer nas exibições do BIND para um pequeno número de registros (ou estiver executando um servidor DNS que não tenha essa funcionalidade como, digamos, DNS da Microsoft), poderá criar zonas em seus servidores DNS internos que correspondem aos FQDNs dos hosts internos que contêm apenas um registro @ A. O restante dos registros em seu domínio será resolvido por meio do DNS da Internet. Para os clientes em sua LAN que usam os servidores DNS internos, as zonas do FQDN com IPs de LAN especificados seriam retornadas (já que o servidor DNS da LAN seria autoritativo para esses nomes).

    
por 16.11.2010 / 14:17
1

A adição de intervalos de IP globalmente não roteáveis ao DNS pode levar a confusão, ao acessar em LANs diferentes, porque pode haver outros servidores com esse intervalo de IPs, potencialmente permitindo ataques phising ao enganar o usuário ao acessar o sistema LAN fora da LAN.

Configure o servidor DNS com recursão na LAN, se você não tiver um,  adicione zonas / registros de destaque aqui e aponte as LANs DHCP / computadores para lá ou use as visualizações BIND ou o recurso correspondente do seu servidor DNS, para mostrar uma zona diferente da sua LAN

    
por 16.11.2010 / 12:02