會員 | 引用:
哈哈哈~~~ 可見妳還是不懂別人的意思就開始亂講 以兩層式的網路架構下我的方式是絕對安全的做法,因為在外部的dns 根本沒有我內部網路的任何資訊,就算這台獨立伺服器被攻垮了,帳號被竊取了 根本對於我的內部網路一點影響都沒有,這樣你懂了吧!! 在說你一直認為只擺設一台dns,我所說的都是內外各一台dns而非只有外部的dns而以 所以請你先把別人的意思看清楚想清楚 | |
回覆 |
會員 | 兩位大大我成功了說... |
回覆 |
會員 | 有些這種 "技術上可行" 的想法, 真的是會害死很多人.. firewall 內外共用一個 name server 當然可以, 技術上當然可行, 可是在實作上, 是不會這樣做的, 除非你不考慮安全性; 不過如果不考慮安全性, 為什麼要 firewall? 通常內部 private IP 和外部 public IP, 同一個 hostname 解析出來的 IP 可能是不一樣的.. 例如 smtp.foo.com, 內部是 192.168.1.10, 外部解析出來是 211.22.22.10, 一台 name server 當然可以達到這的結果, 這就是所謂的 "技術上可行", 實作上, 不該這樣做。 |
回覆 |
會員 | 看到各位在討論這個問題,剛好小弟最近公司也想要架設firewell看到各位的說法. 是要把Dns server架在FireWell後較安全,但是這時Dns如何跟外面交換資料? 因為這個問題困擾我很久 |
回覆 |
網技版工友.. | 引用:
一方面, 請這位老兄(hhdig)的語氣稍微調整一下, 畢竟大家是一同討論的, 不是在參加辯論比賽吧, 是不? 另一方面, 對於MOC堜珒ㄗ鴘漕漭xDNS, 我想我可以幫忙做個說明. 其實, Lettuce版主與hhdig兄兩者所述皆為正確(只是hhdig有個小小的誤會..). 在比較前面的章節(..好像是ad structure吧), 對WAN的安全性考慮一般, 與一般考慮預算的情形下, 書本就是建議使用Lettuce兄的架構 - 只使用一台DNS Server, 而放在Firewall後面.. 除此之外, 當書看到了較後面的(好像是1561/1562吧), 開始網路規劃的時候, 這時給的條件, 往往是指預算不拘, 而安全性再提高 - 所以有了DMZ的產生, >> WAN--Firewall--DMZ--ProxyServer--LAN 又為了提高DNS的安全性, 擔心一個防火牆不夠擋, 也怕WAN來的駭客亂改DMZ中的DNS Server, 所以在LAN堣]架一台DNS Server, 主設為Primary; 而DMZ中的DNS Server則設為Secondary, 只能查不能改(向Primary DNS Server查求資料更新). 看出來了嗎? 即便是DMZ中的DNS Server, 媕Y一樣也存放著LAN媕Y完整的複本, 以給WAN的使用者使用. 所以.. 看來兩者皆可行, 只是使用情況不同而已嘛~~別搞得這樣啦~ 再提醒一次. 大夥兒有緣來PCZone交流, 請珍惜這樣難得的一個緣份. Lettuce版主辛苦的維持本版, 我想我們應該多給他掌聲, 而不是言語上的剌激, 您說是吧~ | |
回覆 |
會員 | 引用:
對不起.....個人的性子太衝了...對不起大家 嗯~~在討論區中我很樂意的去幫人解決問題,也很希望大家一起來討論 關於這個主題,其實應該要從WAN上的DNS運作方式來思考架設方式 安全性的部分也是需要以這個部分來考慮 | |
回覆 |
會員 | 若是小弟,可能以此方式來架設,但前面先說清楚,這是理論上可以做到而以... 就是Firewall & DNS架在一起,且為Linux Kernal 2.4以上,Firewall以iptables 做設定。此時DNS所記錄的資訊以Public的IP來記錄。而後在iptables上動手腳, 轉錄之前 Linux 新聞群組上很有名的小州兄的NAT相關設定文件的一部份: 當然,以前有人提到,外面使用 telnet 210.1.1.1 25 的確是可以 work, 不過內部 192.168.1.x 的電腦若是 telnet 210.1.1.1 25 就不行.. 那補上下面的敘述: iptables -A OUTPUT -t nat -p tcp -d 210.1.1.1 \ --dport 25 -j DNAT --to 192.168.1.100:25 這種方式應該亦是可以接受的吧!上述的設定可能不符實際用途 ,或許得再修改一下,不過還得找找才行。 |
回覆 |
會員 | 謝謝各位大大的幫忙因為小地的問題照成大家的困擾真是抱歉... 這次的問題小弟後來參照廠商的資料稍微修改自己的DNS 設定就OK了如果有其他類似的問題可以參考以下說明中最後一段關於DNS Server設定的部分修改或有所幫助.... ---------------------------------------------------------------------------- 首先要先將你的 Server IP 更改成與 CAS2040 Local Port 相同的網段 IP 例如 192.168.1.200 ,接著須設定 Virtual Server 將網站開放其方式為: 於 CAS2040 Virtual Server 內設定: 1.Web Server Port unmber -> 80 (WWW) Port Type ->TCP Local ip -> 您的 Server IP (ex.192.168.1.200) 2.Mail Server Port unmber -> 25(SMTP) 及 110 (POP3) Port Type ->TCP Local ip -> 您的 Server IP (ex.192.168.1.200) 3.DNS Server Port unmber -> 53 Port Type ->UDP Local ip -> 您的 Server IP (ex.192.168.1.200) 接著要到 TWNIC (網域名申請單位)將你的 DNS IP 指到CAS2040 的 Internet(Global) Port IP (合法 IP). 再來就是將 DNS Server 內有關 web( A 記錄) 及 mail (MX 記錄)的相對應 IP 改為 CAS2040 的 Global Port IP (合法 IP). 用戶使用注意事項: 使用 Virtual Server 因為有防火牆功能,所以在使用上要分兩部份: 對Internet 用戶 :便如往常一樣,可以直接使用 domain name 連接 Web 及 Mail Server. 對內部 Local 用戶 :要用 Server 的真正 IP (私有 IP ,例如 192.168.1.200 ) 經過以上設定後,只要別人連到你的合法IP 就可以進入網站了! DNS Server 的設定範例: 這是一個 Linux 的範例參考,Win2000 的詳細做法請參考相關的書籍 此例中的 CAS1040/CAS2040 WAN IP 為 211.2x.18x.5 ;====================================== ; domain zone "abc.com.tw" 的部分 (範例) ;====================================== ; ; 從 BIND 8.2 開始, SOA 的定義有些許修訂, 新加入 Negative Caching 的功能, ; 原先的 Time-To-Live 欄位讓出, 另定一個新的變數 $TTL, 加在原先的 SOA ; 之前. 底下是一個範例. $TTL 259200 ; default Time-To-Tive = 3days ;------------------------------------------------ @ IN SOA dns.abc.com.tw. hostmaster.abc.com.tw. ( 2000041201 ;Serial 86400 ;Refresh - 1 days 1800 ;Retry 604800 ;Expiry - 7 days 1200 ) ;Negative Caching ;------------------------------------------------ @ IN NS dns.abc.com.tw. ; ; dns IN A 211.2x.18x.5 @ IN MX 5 mail.abc.com.tw. ;====================================== ; Other Hosts of the zone ;====================================== abc.com.tw. IN A 211.2x.18x.5 www IN A 211.2x.18x.5 mail IN CNAME www ;------------------------------------------------ |
回覆 |
會員 | 嗯~~~我了解這個意思了,謝謝你 |
回覆 |
會員 | 看了各位的討論後,我不清楚是要選那一種就好? |
回覆 |
|
類似的主題 | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
請教一個關於exchange server的問題 | jerrychang | -- Windows 討 論 版 | 10 | 2006-07-01 07:22 PM |
【求助】有關FTP SERVER的問題 | angelfish | -- 網 路 技 術 版 | 4 | 2004-05-25 08:52 PM |
【求助】AP接Print Server的問題 | ericblack | -- 無 線 網 路 版 | 6 | 2004-04-05 06:02 PM |
【求助】架設WINS SERVER的問題 | lionel_lo | -- Windows 討 論 版 | 5 | 2004-03-18 03:59 AM |
Terminal Server的問題 | kaiser573 | -- 網 路 技 術 版 | 0 | 2003-08-01 06:01 PM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。