我应该/可以使用DNS记录来列出“私有局域网中的私有主机”吗？

Question

这是一个理论问题:假设我有几个服务，它们都有一个公共IP地址和一个私有IP地址(192.xxx范围)。两个加载项都用于不同的服务。我不想在内部(为私有局域网)使用IP地址，也不想使用主机名，因为它们更需要记住：

示例: foobar.myhost.com =>公共IP 222.xxx和私有IP 192.xxx

我知道我可以使用/etc/network/host文件来定义所有的“私有LAN”主机名，但是这非常麻烦，而且容易出错，因为我必须保持所有这些文件保持同步。

什么是最佳实践/您的选择使用标准的公共DNS记录(我的领域)也列出私名？这有道理吗？然而，这确实是我的私人局域网的结构，这是好吗？而公共DNS记录也会列出私人IP(这是我以前从未见过的)。

最大的问题是:实际上我想要一个主机名，但是这个主机名同时具有一个公共的私有IP地址。是否有可能在DNS记录(同名foobar.myhost.com)中同时定义这两种方式，但在以后区分私有IP Adresss和公共IP Adresss？

任何好的博客/最佳实践/文章/意见都是非常感谢的。

谢谢詹斯

Answer 1

要做到这一点，有许多不同的方法。显然，您不希望为公共和私有IP地址创建A记录，并发布这些记录供公众使用，因为那时用户将尝试通过私有IP访问。如果一个名称列出了多个A记录，则它们将在循环中使用，从而导致用户有时无法连接。

下面是我使用过的几个解决方案：

我最喜欢的解决方案是为这些服务器创建一个DNS子区域，也许称为"private.example.com“。然后，"example.com“中具有私有IP地址的服务器在"private.example.com”区域中列出。然后配置您的/etc/ your (可能通过DHCP)，以便当您连接到专用网络时，您的DNS搜索路径是"private.example.com example.com“。现在，如果您尝试访问"hostname"，它将首先尝试查找“hostname.private.example.com”。然后"hostname.example.com“。因此，您在该域中的任何主机，如果没有私有in，您就不必在多个地方列出。您还可以使用"hostname.example.com“来显式引用公共IP，对于私有IP也可以这样做。但是如果你只说“主机名”，它就会找到匹配的。

注:如果第三方意识到有一个"private.example.com“区域，他们可能能够查询或”挖掘“它，并看到IP地址。披露这些信息可能会引起您的关注，这取决于您的确切需求，但对于我的需要，揭示一些私人IP地址从来不是一个问题。

您可以配置BIND调用的“视图”。这里有一个指向另一个问题的链接，它显示了视图的示例配置。基本上，您可以配置访问控制列表，说明要根据请求的IP地址来响应请求所使用的区域文件。因此，如果您收到来自专用网络的请求，您可以使用私有IP进行响应。然而，视图可能很难配置和维护。还有一个问题是保留不同意见中的记录副本，详情请参阅我的下一项建议。

如果您的专用网络有一个主机，您可以在其上独立于公共DNS服务器运行DHCP和DNS，则可能希望在此主机上将DNS设置为专用网络中计算机的默认DNS服务器，然后设置DNS服务器以使用专用IP回答对这些计算机的查询。但是，如果您感兴趣的DNS区域中的所有机器都不是都有私有IP，这可能会导致记录的重复，此时您必须列出两个DNS服务器中服务器的IP地址。类似于上面的视图，但是概念上设置和测试比较简单，因为您有完全独立的DNS服务器。

Answer 2

当然，列出与权威公共地址相同的服务器中的私有IP范围是个坏主意。但是，如果您运行的内部服务器对您的域不具有权威性(即只能由内部服务器访问)，那么在与私有地址相同的区域内复制公共地址没有技术问题(除了更新在公共服务器中更改的地址的问题)。实际上，提供内部DNS服务非常有意义。

在日志时间之前，我为设置绑定编写了一个脚本，但请注意，这主要是针对内部地址位于独立于公共地址的域的场景。现在(如果您在Unix/Linux/POSIX上运行)，德斯马斯克是一个更好的解决方案(具有DHCP地址的额外好处)。

Answer 3

如果您不想处理少量记录的绑定视图(或者运行的DNS服务器没有该功能，比如Microsoft DNS)，则可以在内部DNS服务器上创建与仅包含@A记录的内部主机的FQDN对应的区域。您域中的其他记录将通过您的Internet DNS解析。对于使用内部DNS服务器的局域网上的客户端，将返回具有指定LAN的FQDN区域(因为LAN服务器对这些名称具有权威性)。