dnsmasq: um domínio, meio privado, meio público?

Navegue suas respostas
1

Nossa rede interna de escritórios tem o mesmo domínio de nível superior que a presença on-line de nossa empresa, por exemplo, ourdomain.com .

Para o mundo externo, todos os hosts públicos (por exemplo, blog.ourdomain.com , download.ourdomain.com , www.ourdomain.com , etc.) são configurados no DNS do nosso hoster de domínio, o AWS Route 53.

Para a intranet do escritório, estamos executando um simples dnsmasq para DHCP e DNS (e VPN, mas isso é outra história); resolução de nomes para servidores internos e computadores desktop (por exemplo, laptops com endereços DHCP) no escritório funciona bem. A instância dnsmasq não está disponível para o público.

Até agora, informamos dnsmasq sobre nossos servidores públicos mantendo um arquivo /etc/hosts.dnsmasq que está incluído no principal /etc/dnsmasq.conf por uma linha addn-hosts=/etc/hosts.dnsmasq , é semelhante ao bem conhecido /etc/hosts e tem o seguinte conteúdo da amostra: 

12.34.56.78    blog
12.34.56.79    download
12.34.56.80    www

Mantemos este arquivo manualmente, o que está se tornando incômodo. Gostaríamos de nos livrar dele e melhorar nossa configuração de dnsmasq para que ele faça o seguinte:

  1. se dnsmasq tiver informações DNS "próprias" (por exemplo, DHCP ou endereço IP estático associado a um nome de host) para uma consulta da rede interna do escritório, veicule que
  2. caso contrário, consulte o DNS público e encaminhe o resultado de volta para o representante na intranet

P: isso é possível com dnsmasq ? Requer um subdomínio para a rede do escritório? (o que gostaríamos de evitar, se possível) Se sim, como? Tenho a sensação de que devo ter passado pelos dnsmasq docs cem vezes; eles são ótimos, mas eu poderia apenas estar olhando para a solução, não vendo.

Além disso: Pelo que entendi, essa configuração é diferente do DNS split-brain , pois não somos usando um servidor de nomes que retorna respostas diferentes, dependendo de onde a consulta vem, mas use um servidor de nomes público e privado para o mesmo domínio.

Esta é uma configuração comum? Se não, existe uma maneira canônica para as organizações configurarem seu DNS quando usam o mesmo TLD para presenças públicas e privadas?

    
por ssc 04.10.2018 / 21:27

1 resposta

1

Is this a common setup?

Eu vi várias perguntas no ServerFault solicitando uma configuração semelhante à desejada, por isso acredito que seja uma configuração comum. Mas como isso não é realmente possível, eu diria que é uma configuração comum de administradores que não entendem como o DNS funciona. (Desculpe, não quero ofender você - nem mais ninguém neste fórum).

Eu forneci uma resposta possível para a pergunta em que alguém hospeda tanto o servidor DNS interno quanto o servidor DNS externo aqui . No entanto, esta resposta usa o BIND como servidor DNS, não como dnsmasq.

Is it doable (with dnsmasq)?

Como afirmado anteriormente, não é possível ser autoritativo para uma determinada zona e encaminhar a consulta para um servidor de nomes diferente se você não tiver a resposta. A resposta que eu forneci na outra pergunta é uma solução.

Is there a canonical way for organizations to configure their DNS when they use the same domain for both public and private presences?

Eu diria que eles usam um subdomínio internamente ou usam DNS dividido. Os registros que precisam estar nas exibições internas e externas precisarão ser copiados nas duas zonas. Isso pode ser simplificado usando automação (por exemplo, Ansible).

    
por 10.10.2018 / 14:45

Tags

Apache Underscore in Header é sobrescrito GPO aplicando em 2k12 mas não em 2k8R2