|
贊助商連結 syuho 2002-01-10, 09:20 PM 最進從同學那借來MCSE的書當中有一章提到內外步DN解析的分析中說到如果內外部的DN箱同的話只要一部DNSServer在防火牆內就好不曉得是不是會錯意.......... 最近一直在想這各問題DNS在FIREWELL後對於外部USER的查詢要如何運作因為經過Firewell後不是私有IP嗎不知有哪為大大知道的可以解惑一下?? 還有如果可以這樣做的話可以簡單說明一下如何設定的嗎?? 因為現在環境剛好可以配合很想架起來試試看....謝謝^^. 贊助商連結 Lettuce 2002-01-11, 04:27 AM 你的Firewall是那種Firewall,有否支援DMZ Host.(這跟如何設定有關) DNS不論是否在Firewall前後..一台就可以了.. MCSE的書..會假設立場 = 您是一個非常了解網路硬體環境設定的人.. hhdig 2002-01-11, 09:56 AM 最初由 Lettuce 發表 DNS不論是否在Firewall前後..一台就可以了.. 不太正確喔.... DNS的架設一般來說都是建議外部一台內部一台的架設方式(以防火牆為分界) 為何要外部一台內部一台,因為若只架設內部的話,他會把你內部的非法ip洩漏出去 這是經驗....在twnic註冊好之後,我在防火牆內架了一台dns,當然這dns是供內部網 路使用然後順便解析外部的請求,結果發生非常奧妙的一件事,當我用nslookup 去168.95.1.1去查詢時他解到的ip竟是192.168.x.x ~~哇咧.... 使的公司的MAIL發生問題其他人都傳不進來,之後我在外部在加一個dns上去 讓外部查詢的要求止於外部dns之後就完全沒問題了 事後我在想這個問題時,就感到有點好笑.... 因為你內部的dns主要是供內部查詢用的所以ip一定是非法的ip位址 然而在外部進來查詢的時候這個dns所能提供的解析一定也是192.168.x.x的位址 你一定會有疑惑,那為何不設外部的合法ip位址就好,這樣做只是讓你內部網路 的效能降低,因為查詢與之後的資料傳送一定會先出防火牆之後再進防火牆 若是兩個ip都設呢??? 嘿嘿...你在外面看到的將會是兩個IP位址 所以只好重架一台DNS在外部 syuho 2002-01-11, 11:48 AM 因為之前的環境是win2000+ISA Server所以沒有這各問題最近因為同學要藉我的電腦測WEB因為ISA與IIS會同時用到80PORT手上剛好有一不IP分享器所以想改成 WAN--IP Sharing--DNS Server 因為書上說可以這樣做可是進來的IP不是變成私有IP了嗎那DNS要如何運作突然之間觀念被搞混了???????????? hhdig兄說的的確是如此因為之前win2000剛架設好的時候從外部測試的確是會連內部的IP都一起解析說到這就要說 東森實在很濫之前測試時有時可以兩各IP都接析但是大部分測試是只能解析到DNS那台DN其他CNAME之類的解析全部不能解析害我一直以為是自己的設定錯誤可是明明使用都正常也沒任何錯誤訊息按照書上的測試步驟也都正確後來改成從別的ISP測試才發現原來只有從東森上線的才會這樣也不知道為神麼????我的DN是xxx.idv.tw.... 如果要改成新的架構照兩位大大所說的就沒有方法了嗎??如果有要如何做????:D :D :D hhdig 2002-01-11, 02:27 PM 之前也是用IP分享器連接廣義網路,後來才使用防火牆 有一點非常質疑的是MCSE的教科書(又稱微軟白皮書)內容事實上跟實際非常脫節 他們都是以純理論為觀點,但是在於實際網路的架構上不一定需要或一定不需要 所以你最好是只用於參考用而已輔助你對於整個微軟系統的運作流程較為了解 由於為何在防火牆之後或者分享器之後可以架設dns供外部解析 因為分享器與防火牆都有類似NAT的機制,也就是說他會幫你轉換封包表頭 使的從外部來的需求時依然有辦法找到你的dns Lettuce 2002-01-11, 06:11 PM 最初由 hhdig 發表 不太正確喔.... DNS的架設一般來說都是建議外部一台內部一台的架設方式(以防火牆為分界) 為何要外部一台內部一台,因為若只架設內部的話,他會把你內部的非法ip洩漏出去 這是經驗....在twnic註冊好之後,我在防火牆內架了一台dns,當然這dns是供內部網 路使用然後順便解析外部的請求,結果發生非常奧妙的一件事,當我用nslookup 去168.95.1.1去查詢時他解到的ip竟是192.168.x.x ~~哇咧.... 使的公司的MAIL發生問題其他人都傳不進來,之後我在外部在加一個dns上去 讓外部查詢的要求止於外部dns之後就完全沒問題了 事後我在想這個問題時,就感到有點好笑.... 因為你內部的dns主要是供內部查詢用的所以ip一定是非法的ip位址 然而在外部進來查詢的時候這個dns所能提供的解析一定也是192.168.x.x的位址 你一定會有疑惑,那為何不設外部的合法ip位址就好,這樣做只是讓你內部網路 的效能降低,因為查詢與之後的資料傳送一定會先出防火牆之後再進防火牆 若是兩個ip都設呢??? 嘿嘿...你在外面看到的將會是兩個IP位址 所以只好重架一台DNS在外部 ㄏㄏ...相必hhdig兄對於Firewall及DNS的設定不是很熟悉吧.. DNS不論是放在外部或內部...都不會影響Mail Relay 若以安全性為出發點..則DNS一定會放置在Firewall旳後面.... 利用NAT機器上的NAPT或是Firewall上的DMZ Host來做相關的設定.^^. 當然..相對的在DNS上也要對NS Record,A Record以及MX Record動一定的手腳... 內外部才能正確的查詢..^^.. 以我個人的習慣是... 公司申請一個C Class的IP..就算公司內部剛好只有250台左右的電腦.. 我也會利用Firewall做類似像SecureServer的功能..把Global Pool設上去.. hhdig 2002-01-11, 08:15 PM 最初由 Lettuce 發表 ㄏㄏ...相必hhdig兄對於Firewall及DNS的設定不是很熟悉吧.. DNS不論是放在外部或內部...都不會影響Mail Relay 若以安全性為出發點..則DNS一定會放置在Firewall旳後面.... 利用NAT機器上的NAPT或是Firewall上的DMZ Host來做相關的設定.^^. 當然..相對的在DNS上也要對NS Record,A Record以及MX Record動一定的手腳... 內外部才能正確的查詢..^^.. 以我個人的習慣是... 公司申請一個C Class的IP..就算公司內部剛好只有250台左右的電腦.. 我也會利用Firewall做類似像SecureServer的功能..把Global Pool設上去.. 妳說到了安全性的問題,就算把dns擺一部在外面也不會造成安全上的顧慮 因為並非只有外部的那一台而已,是內外都有,請把我的意思搞清楚之後再說 在說以真正安全性而言在內外各加一台dns一定會比妳在防火牆之後才有dns 來的安全,因為你必須在防火牆的ip設定上打開dns查詢的埠,而現在的網路來說 多開一個埠相對的安全性一定是降低的 而你所提到的A NS MX 的紀錄我並非不是不知道,而是不知道你所說的"動一定的手腳" 是動什麼手腳 hhdig 2002-01-11, 08:32 PM 我想沒有必要在討論下去的必要,因為你所接觸的網路架構與我所說的架構不同 所以沒有討論下去的必要 不同的網路結構會有不同的設定方式,你所說的設定方式的確適用於你的網路架構下 可是不一定適用於我說的網路架構下,我們兩個所說的架設方式都是正確, 只看問這個問題的人是用哪一種網路架構而定 syuho 2002-01-11, 09:09 PM 謝謝兩位大大的解說有一點說的很對要看是在神麼樣的環境小弟就是因為環境的限制沒那麼多前可以內外都架一台DNS所以只好變通方法.... 關於小弟的問題剛剛去IP Sharing的公司網站已經找到答案了他是說在IP Sharing 上設定Virtual Server對應至內部DNS Server然後在DNS Server上動手腳也就是在Reverse加上外部IP 的NS,A,MX的recode這樣子就OK了.... 因為現在人在公司無法回家測試等成功了再回來向大大們報告... Lettuce 2002-01-11, 11:21 PM ....... DNS放在FIrewall下....只有"TCP/UDP 53port"是Enable的.... DNS放在Firewall前....所有的Port都是Enable的.... 那個比較安全呢??請大家有空想一想吧..^^.. |
|
|