bind9 dns代理

Question

我们在本地网络中提供多个启用SSL的服务.

为了避免证书警告，我们为server.ourdomain.tld和firewall.ourdomain.tld购买了证书。

现在，我们在本地DNS-服务器中创建了一个区域，其中我们将主机指向相应的私有-ips。

现在，每次ourdomain.tld的另一条记录(例如www.ourdomain.tld或类似记录)被更改时，我们都需要在公共dns服务器和本地dns服务器上更新它。

我希望我们的本地绑定-dns服务从我们的公共dns的所有信息，但为这两个主机提供不同的信息。

我知道我可能会在我们的公共dns中使用我们的私有ips，但出于安全原因，我不想这样做。

internet dns-服务器是由第三方管理的，而我们完全控制了intranet 1。正因为如此，我正在寻找一种解决方案，让内联网从因特网上检索记录。

Answer 1

用于绑定中的分裂DNS配置。无论如何，您应该使用它来防止使用bind服务器进行放大攻击。一旦开始运行，您将继续对区域文件进行拆分配置。

为内部网(内部)用户创建区域文件，为Internet (外部)用户创建另一个区域文件。只在每个文件中放置具有不同IP地址的子域。创建包含其余IP地址的第三个文件，并将其包含在前两个区域文件中。我会把序列号放在包含文件中。

使用此配置，您将能够在一个地方进行编辑并重新加载。如果您需要更改其中一个服务器的IP地址，该服务器对本地和Internet用户具有不同的IP地址，则需要在第三个文件中增加序列号。

上述方法可能泄露有关您不希望从Internet访问的服务器的信息。您可能会更好地使用两个区域文件，一个用于intranet用户，另一个用于Internet。如果您计划好您的网络，IP地址应该只需要在一个文件中的时间更改。

Internet的区域文件只应包含要从Internet访问的域的信息。它只应包括因特网可路由的IP地址。

intranet的区域文件可以包含所需的所有服务器。它可以包括具有私有IP地址的服务器: 10.0.0.0/8、172.16.0.0/12和/或192.168.0.0/8。如果使用VPN，则将拆分的DNS配置为包括intranet大小的VPN主机。

编辑:非常努力地稳定互联网上可见的IP地址。我还没有完成一个他们充满活力的项目。你真的应该有尽可能少的域名可以从互联网上看到。他们都应该居住在非军事区内。如果可能的话，用于频繁移动的域的多家庭IP地址。如果没有，请考虑在internet端创建一个子域，在其中更改IP地址，并使用CNAMES从Internet和intranet指向这些记录。

必须公开给Internet的服务器/服务包括DNS、Web、SMTP (邮件)和VPN。仔细考虑其他服务器/服务的风险。(多个) Web域很容易使用CNAMES处理。在大多数情况下，不应向Internet公开数据库服务器。