Eu estou tentando definir um subdomínio para uma rede privada (RFC1918) atrás de um firewall NAT; vamos chamá-lo priv.example.com. Normalmente, e pelo que posso reunir em vários sites, isso pode ser feito delegando o subdomínio do servidor DNS público e externo de example.com para outro servidor DNS interno e autoritativo para priv.example.com.
Eu tenho alguns problemas para superar com esta solução, no entanto. A primeira é que não preciso nem quero que a Internet pública esteja ciente de priv.example.com. Eu suponho que isso poderia ser tratado com views de bind, mas eu ainda não percebi isso (nem tenho certeza se nosso host DNS suporta views). A segunda é que eu teria que abrir um buraco no firewall e criar uma conversão de endereço para que o servidor DNS externo pudesse ver o interno. Isso parece ser um risco de segurança desnecessário.
Existe uma maneira de criar este cenário sem tornar o servidor DNS público de exemplo.com ciente do DNS privado para priv.example.com? Eu estou usando bind9 para o servidor interno, privado. Existe uma solução geral melhor para fornecer serviço de nome para minha rede privada? Já vi outras soluções mais controversas, como usar um TLD privado ou definir um DNS "mestre" duplicado para o domínio de segundo nível na rede privada. Estes parecem hacks feios para mim.
Você precisa ter todos os sistemas dentro da rede resolvidos para um servidor DNS interno.
Quando todos os hosts estiverem usando o servidor DNS interno, você poderá definir o subdomínio como uma zona, como mulaz sugere, ou usar o DNS Forwarding - permitindo escolher quais hosts serão substituídos e deixar que o resto seja resolvido externamente . De qualquer forma, o servidor DNS interno retransmitiria (e armazenaria em cache) todas as solicitações que não conhece (como google.com).
Qual servidor dns (resolvedor) os computadores da sua rede local usam? Se eles usarem o servidor de vínculo interno que você administra, basta configurar a zona para o seu domínio e adicionar os registros apropriados para seus serviços internos. O servidor de DNS ainda funcionará normalmente como um resolvedor para obter endereços externos, mas servirá zonas locais para usuários locais para o seu domínio local.
É claro que todos os computadores terão que usar o servidor dns que você configurou para eles, e não outros servidores dns (como opendns, google, etc.)
Você pode configurar o Bind com DNS dividido. Você teria dois arquivos de zona separados para o domínio. Aquele a ser servido ao público conteria apenas os registros que você deseja ter publicamente disponíveis. O arquivo de zona para o mesmo domínio a ser servido internamente conterá as mesmas informações, além de quaisquer recursos adicionais que você deseja disponibilizar para clientes internos. Este arquivo de zona interna também pode servir os endereços internos para recursos, em vez do endereço público, conforme apropriado.