web-dev-qa-db-ja.com

プライベートサブドメインを解決し、既存のパブリックサブドメインのパブリックネームサーバーに転送するプライベートDNSゾーン

公開されている一連のサブドメインを持つTLDがあります(例:*.example.com)。 SVNリポジトリとして使用されるプライベートサーバーもあります。これはsvn.example.comで利用可能にしたいのですが、プライベートネットワーク上でのみ使用できます。現在、私はゾーンファイルsvn.example.com.zoneを作成し、次の宣言を使用することでそれを実現しています。

zone "svn.example.com" IN {
    type master;
    file "/etc/named/svn.example.com.zone";
};

そしてゾーンファイルで:

@                IN  NS  svn.example.com.
svn.example.com. IN  A   10.200.1.1

他のすべてのドメインは、パブリックネームサーバーに転送されます。これは機能しますが、新しいプライベートサブドメインを追加する場合はまったく新しいゾーンを作成する必要があるため、理想的ではありません。このゾーンをexample.com TLD全体のマスターレコードにすると、プライベートDNSを使用しているクライアントでは、現在パブリック*.example.comへのリクエストが機能しなくなると想定します(プライベートDNSで重複している場合を除く)ゾーンファイル)。

1つ以上のプライベートサブドメインを指定するゾーンファイルを提供する方法はありますか?それでも解決できない要求をパブリックネームサーバーに転送しますか? forwardゾーンタイプを使用してみましたが、自分のゾーンファイルを指定できません。転送のみを行います。

更新

ロケット科学者のためのDNS第6章は、 内部ネットワーク上のステルスDNSサーバー のDNS構成の例を示します。これは、私がかなりうまく達成したいことと一致しているようで、特にプライベートDNSゾーンでパブリックDNSレコードを複製することを提案しています。明らかに私が解決したい問題はレコードの重複であるため、これはより回避策です。

domain-name-systeminternal-dns
7
Adam Sharp

最終的に私はここで説明されている解決策に取り掛かりました: http://www.zytrax.com/books/dns/ch6/#stealth 。あれは:

  • パブリックホストとプライベートホストの両方のレコードを含むステルスDNSサーバーをセットアップします

この主な理由は、私の組織のニーズのために、少数のパブリックDNSレコードを複製すると、次の利点があることです。

  • わかりやすい
  • クイック初期セットアップ

主な欠点は冗長性であり、ステルスサーバーをパブリックDNSと手動で同期する必要があります。

2
Adam Sharp

これを実現する一般的な方法は次のとおりです。

  • スプリットDNS-内部DNSサーバーに異なるDNSレコードがある...しかし内部DNSサーバーにはallレコードが必要であり、内部サーバーと外部サーバー間の同期が必要です
  • 委任-svn.example.comゾーンを作成し、example.com DNSサーバーに* .svn.example.com(svn.example.com自体を含む)に関連するものがないかsvn.example.comを参照させる

1つの方法は、「internal.example.com」のようなサブドメインをLANのDNSサーバーに委任することです。これらのDNSサーバーでは、internal.example.com(または、より短くしたい場合はi.example.com)のゾーンを構成し、必要なレコードを追加できます。

それぞれのサーバーで使用しているソフトウェアによっては、内部DNSサーバーとパブリックDNSサーバーの同期を自動化して、スプリットDNSを使用できる場合があります。

3番目のオプションは、内部IPアドレスをパブリックDNSに配置することです。これはセキュリティに影響を与える可能性があります(LANに接続していない場合、だれかがあなたをだましてサーバーに接続させる可能性があります)が機能し、セットアップは非常に簡単です。

3
Grant

これを回避する最も簡単な方法は、すべての内部アドレスを*.internal.example.comなどの内部サブドメインの下に置くことです。これにより、アクセスしているホスト名が内部のみであり、外部から解決されないというあいまいさがなくなります。

1
brent

バインドビューについてお読みください。例: http://oreilly.com/pub/a/oreilly/networking/news/views_0501.html 。誰(ソースIP)がどのゾーンにアクセスできるかを制限したり、特定のゾーンの複数のバージョンを持つことができます。

0
0xFF