最初由 Lettuce 發表
.......
DNS放在FIrewall下....只有"TCP/UDP 53port"是Enable的....
DNS放在Firewall前....所有的Port都是Enable的....
那個比較安全呢??請大家有空想一想吧..^^..


哈哈哈~~~ 可見妳還是不懂別人的意思就開始亂講
以兩層式的網路架構下我的方式是絕對安全的做法,因為在外部的dns
根本沒有我內部網路的任何資訊,就算這台獨立伺服器被攻垮了,帳號被竊取了
根本對於我的內部網路一點影響都沒有,這樣你懂了吧!!

在說你一直認為只擺設一台dns,我所說的都是內外各一台dns而非只有外部的dns而以
所以請你先把別人的意思看清楚想清楚

贊助商連結

兩位大大我成功了說...

有些這種 "技術上可行" 的想法, 真的是會害死很多人..

firewall 內外共用一個 name server 當然可以, 技術上當然可行, 可是在實作上, 是不會這樣做的, 除非你不考慮安全性; 不過如果不考慮安全性, 為什麼要 firewall?

通常內部 private IP 和外部 public IP, 同一個 hostname 解析出來的 IP 可能是不一樣的..

例如 smtp.foo.com, 內部是 192.168.1.10, 外部解析出來是 211.22.22.10, 一台 name server 當然可以達到這的結果, 這就是所謂的 "技術上可行", 實作上, 不該這樣做。

看到各位在討論這個問題,剛好小弟最近公司也想要架設firewell看到各位的說法.
是要把Dns server架在FireWell後較安全,但是這時Dns如何跟外面交換資料?
因為這個問題困擾我很久

最初由 hhdig 發表



哈哈哈~~~ 可見妳還是不懂別人的意思就開始亂講
以兩層式的網路架構下我的方式是絕對安全的做法,因為在外部的dns
根本沒有我內部網路的任何資訊,就算這台獨立伺服器被攻垮了,帳號被竊取了
根本對於我的內部網路一點影響都沒有,這樣你懂了吧!!

在說你一直認為只擺設一台dns,我所說的都是內外各一台dns而非只有外部的dns而以
所以請你先把別人的意思看清楚想清楚

呵呵.. 聞到了一股濃濃的火藥味哦~:D
一方面, 請這位老兄(hhdig)的語氣稍微調整一下, 畢竟大家是一同討論的, 不是在參加辯論比賽吧, 是不?
另一方面, 對於MOC堜珒ㄗ鴘漕漭xDNS, 我想我可以幫忙做個說明.
其實, Lettuce版主與hhdig兄兩者所述皆為正確(只是hhdig有個小小的誤會..). 在比較前面的章節(..好像是ad structure吧), 對WAN的安全性考慮一般, 與一般考慮預算的情形下, 書本就是建議使用Lettuce兄的架構 - 只使用一台DNS Server, 而放在Firewall後面..
除此之外, 當書看到了較後面的(好像是1561/1562吧), 開始網路規劃的時候,
這時給的條件, 往往是指預算不拘, 而安全性再提高 - 所以有了DMZ的產生,
>> WAN--Firewall--DMZ--ProxyServer--LAN
又為了提高DNS的安全性, 擔心一個防火牆不夠擋, 也怕WAN來的駭客亂改DMZ中的DNS Server,
所以在LAN堣]架一台DNS Server, 主設為Primary; 而DMZ中的DNS Server則設為Secondary,
只能查不能改(向Primary DNS Server查求資料更新).
看出來了嗎?:)
即便是DMZ中的DNS Server, 媕Y一樣也存放著LAN媕Y完整的複本, 以給WAN的使用者使用.
所以.. 看來兩者皆可行, 只是使用情況不同而已嘛~~別搞得這樣啦~

再提醒一次. 大夥兒有緣來PCZone交流, 請珍惜這樣難得的一個緣份.
Lettuce版主辛苦的維持本版, 我想我們應該多給他掌聲, 而不是言語上的剌激,
您說是吧~ :)

最初由 milwater 發表


呵呵.. 聞到了一股濃濃的火藥味哦~:D
一方面, 請這位老兄(hhdig)的語氣稍微調整一下, 畢竟大家是一同討論的, 不是在參加辯論比賽吧, 是不?
另一方面, 對於MOC堜珒ㄗ鴘漕漭xDNS, 我想我可以幫忙做個說明.
其實, Lettuce版主與hhdig兄兩者所述皆為正確(只是hhdig有個小小的誤會..). 在比較前面的章節(..好像是ad structure吧), 對WAN的安全性考慮一般, 與一般考慮預算的情形下, 書本就是建議使用Lettuce兄的架構 - 只使用一台DNS Server, 而放在Firewall後面..
除此之外, 當書看到了較後面的(好像是1561/1562吧), 開始網路規劃的時候,
這時給的條件, 往往是指預算不拘, 而安全性再提高 - 所以有了DMZ的產生,
>> WAN--Firewall--DMZ--ProxyServer--LAN
又為了提高DNS的安全性, 擔心一個防火牆不夠擋, 也怕WAN來的駭客亂改DMZ中的DNS Server,
所以在LAN堣]架一台DNS Server, 主設為Primary; 而DMZ中的DNS Server則設為Secondary,
只能查不能改(向Primary DNS Server查求資料更新).
看出來了嗎?:)
即便是DMZ中的DNS Server, 媕Y一樣也存放著LAN媕Y完整的複本, 以給WAN的使用者使用.
所以.. 看來兩者皆可行, 只是使用情況不同而已嘛~~別搞得這樣啦~

再提醒一次. 大夥兒有緣來PCZone交流, 請珍惜這樣難得的一個緣份.
Lettuce版主辛苦的維持本版, 我想我們應該多給他掌聲, 而不是言語上的剌激,
您說是吧~ :)



對不起.....個人的性子太衝了...對不起大家

嗯~~在討論區中我很樂意的去幫人解決問題,也很希望大家一起來討論
關於這個主題,其實應該要從WAN上的DNS運作方式來思考架設方式
安全性的部分也是需要以這個部分來考慮

若是小弟，可能以此方式來架設，但前面先說清楚，這是理論上可以做到而以...
就是Firewall & DNS架在一起，且為Linux Kernal 2.4以上，Firewall以iptables
做設定。此時DNS所記錄的資訊以Public的IP來記錄。而後在iptables上動手腳，
轉錄之前 Linux 新聞群組上很有名的小州兄的NAT相關設定文件的一部份：


當然，以前有人提到，外面使用 telnet 210.1.1.1 25 的確是可以 work，
不過內部 192.168.1.x 的電腦若是 telnet 210.1.1.1 25 就不行..
那補上下面的敘述:

iptables -A OUTPUT -t nat -p tcp -d 210.1.1.1 \
--dport 25 -j DNAT --to 192.168.1.100:25


這種方式應該亦是可以接受的吧！上述的設定可能不符實際用途
，或許得再修改一下，不過還得找找才行。:D

謝謝各位大大的幫忙因為小地的問題照成大家的困擾真是抱歉...
這次的問題小弟後來參照廠商的資料稍微修改自己的DNS 設定就OK了如果有其他類似的問題可以參考以下說明中最後一段關於DNS Server設定的部分修改或有所幫助....
----------------------------------------------------------------------------
首先要先將你的 Server IP 更改成與 CAS2040 Local Port 相同的網段 IP 例如 192.168.1.200 ,接著須設定 Virtual Server 將網站開放其方式為:

於 CAS2040 Virtual Server 內設定:

1.Web Server
Port unmber -> 80 (WWW)
Port Type ->TCP
Local ip -> 您的 Server IP (ex.192.168.1.200)

2.Mail Server
Port unmber -> 25(SMTP) 及 110 (POP3)
Port Type ->TCP
Local ip -> 您的 Server IP (ex.192.168.1.200)

3.DNS Server
Port unmber -> 53
Port Type ->UDP
Local ip -> 您的 Server IP (ex.192.168.1.200)

接著要到 TWNIC (網域名申請單位)將你的 DNS IP 指到CAS2040 的 Internet(Global) Port IP (合法 IP).

再來就是將 DNS Server 內有關 web( A 記錄) 及 mail (MX 記錄)的相對應 IP 改為 CAS2040 的 Global Port IP (合法 IP).

用戶使用注意事項:
使用 Virtual Server 因為有防火牆功能,所以在使用上要分兩部份:

對Internet 用戶 :便如往常一樣,可以直接使用 domain name 連接 Web 及 Mail Server.

對內部 Local 用戶 :要用 Server 的真正 IP (私有 IP ,例如 192.168.1.200 )

經過以上設定後,只要別人連到你的合法ＩP 就可以進入網站了!

DNS Server 的設定範例:
這是一個 Linux 的範例參考,Win2000 的詳細做法請參考相關的書籍
此例中的 CAS1040/CAS2040 WAN IP 為 211.2x.18x.5
;======================================
; domain zone "abc.com.tw" 的部分 (範例)
;======================================
;
; 從 BIND 8.2 開始, SOA 的定義有些許修訂, 新加入 Negative Caching 的功能,
; 原先的 Time-To-Live 欄位讓出, 另定一個新的變數 $TTL, 加在原先的 SOA
; 之前. 底下是一個範例.

$TTL 259200 ; default Time-To-Tive = 3days
;------------------------------------------------
@ IN SOA dns.abc.com.tw. hostmaster.abc.com.tw. (
2000041201 ;Serial
86400 ;Refresh - 1 days
1800 ;Retry
604800 ;Expiry - 7 days
1200 ) ;Negative Caching
;------------------------------------------------
@ IN NS dns.abc.com.tw.
;
;
dns IN A 211.2x.18x.5
@ IN MX 5 mail.abc.com.tw.

;======================================
; Other Hosts of the zone
;======================================

abc.com.tw. IN A 211.2x.18x.5
www IN A 211.2x.18x.5
mail IN CNAME www
;------------------------------------------------

嗯~~~我了解這個意思了,謝謝你

看了各位的討論後,我不清楚是要選那一種就好?