我们在本地networking中提供多个启用SSL的服务。
为了避免证书警告,我们为server.ourdomain.tld和firewall.ourdomain.tld购买了证书。
我们现在在我们的本地DNS服务器中创build了一个区域,在这个区域中我们将主机指向相应的私有IP地址。
现在,每当我们的ourdomain.tld另一个logging(比如www.ourdomain.tld或者类似的)被改变时,我们需要在我们的public-dns-server和本地的dns-server上更新它。
我希望我们的本地绑定DNS能够提供来自我们的公共DNS的所有信息,但是为这两个主机提供不同的信息。
我知道我可能在我们的公共dns中拥有我们的私有ip,但是出于安全原因,我不想要这样做。
互联网DNS服务器由第三方pipe理,而我们完全控制了内部网。 因此,我正在寻找一种解决scheme,让内联网从互联网上检索logging。
在绑定中使用Split DNSconfiguration。 无论如何,您应该使用这个来防止在放大攻击中使用绑定服务器。 一旦你有这个运行,你继续分区configuration你的区域文件。
为Intranet(内部)用户创build区域文件,为Internet(外部)用户创build另一个区域文件。 仅放置每个文件中具有不同IP地址的子域。 创build包含其余IP地址的第三个文件,并将其包含在前两个区域文件中。 我会将序列号放在包含文件中。
使用这种configuration,你将能够在一个地方编辑和重新加载。 如果您需要更改本地和Internet用户的IP地址不同的服务器的IP地址,则需要在第三个文件中增加序列号。
上述方法可能泄漏有关您不想从Internet访问的服务器的信息。 您可能会更好地使用两个区域文件,一个用于Intranet用户,另一个用于Internet。 如果您计划好networking,则只需要在一个文件中更改IP地址。
Internet的区域文件只应包含您想要从Internet访问的域的信息。 它应该只包含Internet可路由的IP地址。
内联网的区域文件可以包含所有你想要的服务器。 它可以包括具有私有IP地址的服务器:10.0.0.0/8,172.16.0.0/12和/或192.168.0.0/8。 如果您使用VPN,请将您的分割DNSconfiguration为在Intranet大小上包含VPN主机。
编辑:努力稳定在互联网上可见的IP地址。 我还没有在一个他们充满活力的项目上工作。 你应该从互联网上看到尽可能less的域名。 他们都应该居住在非军事区内。 如果可能的话,经常移动的域的多家庭IP地址。 如果没有,请考虑在互联网上创build一个子域,在那里更改IP地址,并使用CNAMES指向Internet和Intranet的这些logging。
必须暴露给Internet的服务器/服务包括DNS,Web,SMTP(邮件)和VPN。 仔细考虑其他服务器/服务的风险。 (多个)Web域可以使用CNAMES轻松处理。 在大多数情况下,数据库服务器不应该暴露给Internet。