Топовые новости
Новое

Использование разделенной DNS

Использование разделенной DNSBIND часто выполняется на брандмауэрах — и для того чтобы действовать в качестве прокси-сервера для программ преобразования внутри сети, и для того чтобы обслуживать авторитетные данные для некоторых зон. В подобных ситуациях многие люди предпочитают не раскрывать больше подробностей о своих конфигурациях частных сетей через DNS чем те, которые не раскрыть невозможно. Тот, кто имеет доступ к вашей системе с внешней стороны брандмауэра, должен видеть лишь ту информацию, к которой ему разрешен доступ, тогда как внутренним хостам разрешен доступ и к другим данным. Такой вид настройки носит название разделенная DNS.

Предположим, вы имеете несколько зон и желаете, чтобы они были открыты внешнему миру. Некоторое же множество зон разрешается видеть лишь хостам вашей сети. Этого можно достичь благодаря использованию следующей. конфигурации: Возможно, в дальнейшем вы пожелаете конфигурировать внутренние хосты, выполняющие named, для пересылки всех запросов к брандмауэру, и никогда не будут разрешать запросы самостоятельно. Опции forward only и forwarders в файле named. conf позволяют достичь этого.

Оператор forwarders в разделе options позволяет указать один или несколько серверов имен, которым следует отправлять запросы, локально не разрешимые: Этот оператор определяет отправку неразрешенных запросов на два упомянутых сервера-посредника. Если все внутренние серверы ищут внешние имена через один или два сервера, эти серверы накапливают огромный кэш, а это значит, что в пределах организации удается найти ответ практически на все запросы. В противном случае может оказаться, что все серверы посылают одинаковые запросы во внешний мир. Если по каким-то причинам сервер-посредник не может ответить на запрос, он попытается выполнить его через кеширующую DNS обычного сервера. Чтобы полностью запретить прием всех удаленных запросов от DNS-сервера, поместите оператор forward-only; сразу после оператора forwarders. В таком случае бесперебойное функционирование всей сети зависит исключительно от сервера-посредника, а это не рекомендуется. В BIND 9 ARM обсуждаются некоторые подробности работы BIND в безопасной конфигурации split-DNS.

Галерея
6198 8845 9710 12874 13267 36053
Интересные записи
Рубрики