出于testing的目的,我发现把whatever.machineIP.mydomain.com指向192.168.1.machineIP是非常有用的:这样我们就可以testing对方的代码,而不用担心主机文件。
我知道这标识了我们的本地IP地址到外部世界,但是如果有人可以访问networking,嗅探哪个本地IP地址响应端口80是微不足道的。
有什么我没有看到?
信贷的想法: http : //news.ycombinator.com/item?id=1168896
你越是暴露在外面,越好。 你永远不知道什么时候一条信息对潜在的入侵者有用。 魔鬼像往常一样在细节中。
根据您的设置,使用水平分割dns和显示.int可能相当容易。 只有内部networking,减轻这种风险。 如果你得到了安全审计,这肯定会被磨损,这是一个容易的select,因为很难说这不是一个不必要的信息曝光。
除此之外,如果您在其他领域(严格的防火墙,DMZ,可靠的和可执行的使用策略)正确地做好了功课,那么暴露几个RFC-1918 IP就不会有多大的伤害。
我用我们的内部DNS服务器做这个。 我们有一个DNS服务器,只为我们办公室内的客户提供服务,我只是在那里增加了一些额外的区域,告诉他他是他们的权力。 因此,不同的名称会自动parsing为内部IP,但是对于我们办公室以外不能使用内部DNS服务器的人员,他们将无法解决。 不需要任何复杂的“水平分割”的事情。