關於Firewell 後DNS Server的問題

[hhdig]

引用:

最初由 Lettuce 發表
.......
DNS放在FIrewall下....只有"TCP/UDP 53port"是Enable的....
DNS放在Firewall前....所有的Port都是Enable的....
那個比較安全呢??請大家有空想一想吧..^^..

哈哈哈~~~ 可見妳還是不懂別人的意思就開始亂講
以兩層式的網路架構下我的方式是絕對安全的做法,因為在外部的dns
根本沒有我內部網路的任何資訊,就算這台獨立伺服器被攻垮了,帳號被竊取了
根本對於我的內部網路一點影響都沒有,這樣你懂了吧!!

在說你一直認為只擺設一台dns,我所說的都是內外各一台dns而非只有外部的dns而以
所以請你先把別人的意思看清楚想清楚

[syuho]

兩位大大我成功了說...

[aleck]

有些這種 "技術上可行" 的想法, 真的是會害死很多人..

firewall 內外共用一個 name server 當然可以, 技術上當然可行, 可是在實作上, 是不會這樣做的, 除非你不考慮安全性; 不過如果不考慮安全性, 為什麼要 firewall?

通常內部 private IP 和外部 public IP, 同一個 hostname 解析出來的 IP 可能是不一樣的..

例如 smtp.foo.com, 內部是 192.168.1.10, 外部解析出來是 211.22.22.10, 一台 name server 當然可以達到這的結果, 這就是所謂的 "技術上可行", 實作上, 不該這樣做。

[flair]

看到各位在討論這個問題,剛好小弟最近公司也想要架設firewell看到各位的說法.
是要把Dns server架在FireWell後較安全,但是這時Dns如何跟外面交換資料?
因為這個問題困擾我很久

[milwater]

引用:

最初由 hhdig 發表



哈哈哈~~~ 可見妳還是不懂別人的意思就開始亂講
以兩層式的網路架構下我的方式是絕對安全的做法,因為在外部的dns
根本沒有我內部網路的任何資訊,就算這台獨立伺服器被攻垮了,帳號被竊取了
根本對於我的內部網路一點影響都沒有,這樣你懂了吧!!

在說你一直認為只擺設一台dns,我所說的都是內外各一台dns而非只有外部的dns而以
所以請你先把別人的意思看清楚想清楚

呵呵.. 聞到了一股濃濃的火藥味哦~
一方面, 請這位老兄(hhdig)的語氣稍微調整一下, 畢竟大家是一同討論的, 不是在參加辯論比賽吧, 是不?
另一方面, 對於MOC堜珒ㄗ鴘漕漭xDNS, 我想我可以幫忙做個說明.
其實, Lettuce版主與hhdig兄兩者所述皆為正確(只是hhdig有個小小的誤會..). 在比較前面的章節(..好像是ad structure吧), 對WAN的安全性考慮一般, 與一般考慮預算的情形下, 書本就是建議使用Lettuce兄的架構 - 只使用一台DNS Server, 而放在Firewall後面..
除此之外, 當書看到了較後面的(好像是1561/1562吧), 開始網路規劃的時候,
這時給的條件, 往往是指預算不拘, 而安全性再提高 - 所以有了DMZ的產生,
>> WAN--Firewall--DMZ--ProxyServer--LAN
又為了提高DNS的安全性, 擔心一個防火牆不夠擋, 也怕WAN來的駭客亂改DMZ中的DNS Server,
所以在LAN堣]架一台DNS Server, 主設為Primary; 而DMZ中的DNS Server則設為Secondary,
只能查不能改(向Primary DNS Server查求資料更新).
看出來了嗎?
即便是DMZ中的DNS Server, 媕Y一樣也存放著LAN媕Y完整的複本, 以給WAN的使用者使用.
所以.. 看來兩者皆可行, 只是使用情況不同而已嘛~~別搞得這樣啦~

再提醒一次. 大夥兒有緣來PCZone交流, 請珍惜這樣難得的一個緣份.
Lettuce版主辛苦的維持本版, 我想我們應該多給他掌聲, 而不是言語上的剌激,
您說是吧~

[hhdig]

引用:

最初由 milwater 發表


呵呵.. 聞到了一股濃濃的火藥味哦~
一方面, 請這位老兄(hhdig)的語氣稍微調整一下, 畢竟大家是一同討論的, 不是在參加辯論比賽吧, 是不?
另一方面, 對於MOC堜珒ㄗ鴘漕漭xDNS, 我想我可以幫忙做個說明.
其實, Lettuce版主與hhdig兄兩者所述皆為正確(只是hhdig有個小小的誤會..). 在比較前面的章節(..好像是ad structure吧), 對WAN的安全性考慮一般, 與一般考慮預算的情形下, 書本就是建議使用Lettuce兄的架構 - 只使用一台DNS Server, 而放在Firewall後面..
除此之外, 當書看到了較後面的(好像是1561/1562吧), 開始網路規劃的時候,
這時給的條件, 往往是指預算不拘, 而安全性再提高 - 所以有了DMZ的產生,
>> WAN--Firewall--DMZ--ProxyServer--LAN
又為了提高DNS的安全性, 擔心一個防火牆不夠擋, 也怕WAN來的駭客亂改DMZ中的DNS Server,
所以在LAN堣]架一台DNS Server, 主設為Primary; 而DMZ中的DNS Server則設為Secondary,
只能查不能改(向Primary DNS Server查求資料更新).
看出來了嗎?
即便是DMZ中的DNS Server, 媕Y一樣也存放著LAN媕Y完整的複本, 以給WAN的使用者使用.
所以.. 看來兩者皆可行, 只是使用情況不同而已嘛~~別搞得這樣啦~

再提醒一次. 大夥兒有緣來PCZone交流, 請珍惜這樣難得的一個緣份.
Lettuce版主辛苦的維持本版, 我想我們應該多給他掌聲, 而不是言語上的剌激,
您說是吧~

對不起.....個人的性子太衝了...對不起大家

嗯~~在討論區中我很樂意的去幫人解決問題,也很希望大家一起來討論
關於這個主題,其實應該要從WAN上的DNS運作方式來思考架設方式
安全性的部分也是需要以這個部分來考慮

[mingsheu]

若是小弟，可能以此方式來架設，但前面先說清楚，這是理論上可以做到而以...
就是Firewall & DNS架在一起，且為Linux Kernal 2.4以上，Firewall以iptables
做設定。此時DNS所記錄的資訊以Public的IP來記錄。而後在iptables上動手腳，
轉錄之前 Linux 新聞群組上很有名的小州兄的NAT相關設定文件的一部份：


當然，以前有人提到，外面使用 telnet 210.1.1.1 25 的確是可以 work，
不過內部 192.168.1.x 的電腦若是 telnet 210.1.1.1 25 就不行..
那補上下面的敘述:

iptables -A OUTPUT -t nat -p tcp -d 210.1.1.1 \
--dport 25 -j DNAT --to 192.168.1.100:25


這種方式應該亦是可以接受的吧！上述的設定可能不符實際用途
，或許得再修改一下，不過還得找找才行。

[syuho]

謝謝各位大大的幫忙因為小地的問題照成大家的困擾真是抱歉...
這次的問題小弟後來參照廠商的資料稍微修改自己的DNS 設定就OK了如果有其他類似的問題可以參考以下說明中最後一段關於DNS Server設定的部分修改或有所幫助....
----------------------------------------------------------------------------
首先要先將你的 Server IP 更改成與 CAS2040 Local Port 相同的網段 IP 例如 192.168.1.200 ,接著須設定 Virtual Server 將網站開放其方式為:

於 CAS2040 Virtual Server 內設定:

1.Web Server
Port unmber -> 80 (WWW)
Port Type ->TCP
Local ip -> 您的 Server IP (ex.192.168.1.200)

2.Mail Server
Port unmber -> 25(SMTP) 及 110 (POP3)
Port Type ->TCP
Local ip -> 您的 Server IP (ex.192.168.1.200)

3.DNS Server
Port unmber -> 53
Port Type ->UDP
Local ip -> 您的 Server IP (ex.192.168.1.200)

接著要到 TWNIC (網域名申請單位)將你的 DNS IP 指到CAS2040 的 Internet(Global) Port IP (合法 IP).

再來就是將 DNS Server 內有關 web( A 記錄) 及 mail (MX 記錄)的相對應 IP 改為 CAS2040 的 Global Port IP (合法 IP).

用戶使用注意事項:
使用 Virtual Server 因為有防火牆功能,所以在使用上要分兩部份:

對Internet 用戶 :便如往常一樣,可以直接使用 domain name 連接 Web 及 Mail Server.

對內部 Local 用戶 :要用 Server 的真正 IP (私有 IP ,例如 192.168.1.200 )

經過以上設定後,只要別人連到你的合法ＩP 就可以進入網站了!

DNS Server 的設定範例:
這是一個 Linux 的範例參考,Win2000 的詳細做法請參考相關的書籍
此例中的 CAS1040/CAS2040 WAN IP 為 211.2x.18x.5
;======================================
; domain zone "abc.com.tw" 的部分 (範例)
;======================================
;
; 從 BIND 8.2 開始, SOA 的定義有些許修訂, 新加入 Negative Caching 的功能,
; 原先的 Time-To-Live 欄位讓出, 另定一個新的變數 $TTL, 加在原先的 SOA
; 之前. 底下是一個範例.

$TTL 259200 ; default Time-To-Tive = 3days
;------------------------------------------------
@ IN SOA dns.abc.com.tw. hostmaster.abc.com.tw. (
2000041201 ;Serial
86400 ;Refresh - 1 days
1800 ;Retry
604800 ;Expiry - 7 days
1200 ) ;Negative Caching
;------------------------------------------------
@ IN NS dns.abc.com.tw.
;
;
dns IN A 211.2x.18x.5
@ IN MX 5 mail.abc.com.tw.

;======================================
; Other Hosts of the zone
;======================================

abc.com.tw. IN A 211.2x.18x.5
www IN A 211.2x.18x.5
mail IN CNAME www
;------------------------------------------------

[hhdig]

嗯~~~我了解這個意思了,謝謝你

[flair]

看了各位的討論後,我不清楚是要選那一種就好?