1 votes

Haine tari avatar

Différentes routes pour le même DNS

Demandé el 30 de Avril, 2012
Quand la question a-t-elle été
1499 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je ne connais pas le terme exact pour ce concept. Mais en gros, je veux juste rediriger le trafic interne pour qu'il aille directement à un serveur du réseau au lieu de passer par Internet. Le domaine doit être le même.

Ejemplo:

- (for internal users) site.domain.com --> 10.0.0.1
- (for external users) site.domain.com --> 111.222.111.12

Ce sont les contraintes que j'ai :

  • le domaine doit être le même.
  • le système n'est pas configurable pour fonctionner avec plus d'un domaine.
  • Nous sommes sur un réseau Microsoft.

J'ai vu ce message récemment, mais il est vieux. Il y a probablement une solution pour cela maintenant.

Résoudre le même nom DNS à différentes IP selon le réseau IP du client

J'apprécierais tout conseil.

Merci !

Demandé el 30 de Avril, 2012 par Haine tari

Réponses

Trop de publicités?

5voto

Dan avatar
Dan Points 15190

Vous devez utiliser une configuration "Split DNS". Essentiellement, vous avez un serveur DNS pour les demandes/utilisateurs externes et un serveur DNS pour l'usage interne. Le serveur DNS externe pointe vers vos adresses IP publiques, tandis que le DNS interne peut utiliser votre gamme d'adresses IP privées.

La manière d'y parvenir dépend toutefois de ce que vous faites exactement.

Voici une bonne introduction à cette idée, bien que datée :

http://www.isaserver.org/tutorials/you_need_to_create_a_split_dns.html

Répondu el 30 de Avril, 2012 par Dan (15190 Points )

1voto

Mike Caldera avatar
Mike Caldera Points 131

Je veux simplement rediriger le trafic interne pour qu'il aille directement à un serveur du réseau au lieu de passer par Internet. Je vais vous montrer les deux options : trafic LAN et trafic WAN.

\===========================================================================

#1 - Pare-feu dur, vous devez ouvrir le port 53 UDP et (TCP si nécessaire).

Ainsi, (pour les utilisateurs externes) site.domain.com --> 111.222.111.12 doit être configuré en DNS statique sur chaque ordinateur portable, téléphone, ordinateur de bureau ou tout autre appareil PUBLIC EXTERNE. Les enregistrements A de Godaddy mis à jour avec l'hôte ou l'IP public.

Je suppose que vous filtrez tout le trafic à partir d'une seule boîte. Avec les serveurs MS, j'utilise SimpleDNS installé dessus. Votre NOM D'HÔTE peut facilement pointer vers un IP statique ou dynamique. Vous pouvez utiliser un nom d'hôte ou une IP. Dans cet exemple, il s'agira d'une IP car la résolution des noms d'hôtes statiques ne pose aucun problème, mais les Ips dynamiques nécessitent ce qu'on appelle un TTL faible. KISS : gardons les choses simples. Le DNS simple fait tout cela de toute façon. Je n'utilise pas les enregistrements A avec Microsoft mais vous pouvez pointer vers une adresse IP locale en utilisant le DNS.

\===============================================================

Assurez-vous que l'IP de la boîte DNS est une IP privée.

192.168.1.200 = IP de ce serveur DNS

255.255.255.0

192.168.1.1 = ip du pare-feu

192.168.1.200 = DNS après l'installation et l'activation de SimpleDNS 192.168.1.1 = avant l'installation de SimpleDNS sinon pas d'accès internet.

\==============================================

Rappelez-vous que vous avez demandé à votre pare-feu en plastique ou en métal d'ouvrir ou de renvoyer cette adresse IP locale 192.168.1.200 sur le port 53 UDP et TCP. Ainsi, toute demande d'accès à n'importe quel(s) site(s) Web passera d'abord de l'extérieur public à votre boîte privée 192.168.1.200. Je vous promets que vous aurez des gens méchants qui essaieront de voler vos affaires... beaucoup d'entre eux, beaucoup de gens méchants. Si vous êtes un débutant, ARRÊTEZ et payez un professionnel ou vos secrets commerciaux seront publiés sur le net ou dans un cabinet d'avocats. C'est probablement la configuration la plus importante de la période de sécurité. Rappelez-vous que le PORT 53 est ouvert à la vue de tous et qu'il ne se fermera pas, contrairement aux autres ports temporaires aléatoires. Oui, la récursion résout ce problème, mais encore une fois ......

Vous avez compris ? Maintenant, votre IP publique 111.222.111.12 transmettra toutes les requêtes DNS du port 53 vers cette machine spécifique dans votre bureau 192.168.1.200 quand vous êtes hors de votre IP locale. Lorsque vous êtes connecté localement, le dns 192.168.1.200 est le dns 1.

Tous les routiers extérieurs devraient ajouter TCP/IPV4 UTILISER LES ADRESSES DE SERVEUR DNS SUIVANTES : DNS 1 : 111.222.111.12

Tous vos employés intérieurs (utilisez les droits d'administrateur pour éviter le contournement du DNS) UTILISEZ LES ADRESSES DE SERVEUR DNS SUIVANTES : DNS 1 : 192.168.1.200

Encore une fois, CE trafic public 111.222.111.12 sera envoyé dans votre bureau UNIQUEMENT à cette machine 192.168.1.200 et à aucune autre machine.

La dernière chose que vous voulez est qu'un de vos employés de l'extérieur utilise vos ordinateurs portables pour du porno ou d'autres choses. Maintenant vous pouvez empêcher cela sans VPN et éviter les maux de tête à 5 dollars :)

Confusion ? C'est un sujet très difficile à comprendre pour certains mais une exigence légale pour certaines entreprises. Pour le trafic LAN uniquement, les éléments ci-dessus conviennent parfaitement. Pour les guerriers de la route, vous voulez tout filtrer si W2. Refusez tout sauf ces sites approuvés. Si c'est 1099, alors c'est leur propre machine à barrage. J'espère que ces étapes de base supplémentaires aideront quelqu'un d'autre à en chercher encore plus.

Répondu el 6 de Janvier, 2016 par Mike Caldera (131 Points )

0voto

Khaled avatar
Khaled Points 35208

Oui, le lien que vous avez fourni est bon. Il s'appelle vues dans le serveur DNS bind. Il semble que cela ne soit pas possible en utilisant le serveur DNS de Microsoft.

Dans bind, la même zone est définie deux fois : une avec des IP publiques et une autre avec des IP privées. Le serveur DNS est ensuite configuré pour utiliser chacune d'elles en fonction des IP sources des clients.

Répondu el 30 de Avril, 2012 par Khaled (35208 Points )

0voto

Sandman4 avatar
Sandman4 Points 4005

Vous avez besoin de votre serveur DNS interne. Cependant, puisque votre DNS est géré par une tierce partie, vous n'avez pas vraiment besoin de votre interne pour prendre en charge vues . Installez n'importe quel serveur comme BIND o SimpleDNS Plus ou utiliser celui de Microsoft (je ne suis pas dans Windows, je ne sais pas comment ça marche). Créez la zone pour domain.com en utilisant votre interne et lui permettre d'être un serveur récursif pour tous les autres domaines.

Vous devrez ensuite faire en sorte que tous vos PC utilisent ce nouveau serveur comme leur seul serveur DNS, soit en utilisant le DHCP, soit par le biais des paramètres de votre routeur, soit par une configuration manuelle sur chaque PC.

Répondu el 7 de Mai, 2012 par Sandman4 (4005 Points )

0voto

Bill Sambrone avatar
Bill Sambrone Points 335

Pour les utilisateurs internes, configurez-les tous pour qu'ils utilisent votre serveur DNS local. Cette option peut être définie dans DHCP. Assurez-vous que le serveur DNS local possède un enregistrement A pour l'IP interne de votre serveur hébergeant le site Web, et non pour l'IP publique.

Votre nom de domaine est géré par un registraire. Si c'est quelqu'un comme GoDaddy/Verio/NetworkSolutions, alors ils ont leurs propres serveurs de noms. Faites une recherche WHOIS sur votre site et vous devriez trouver la liste des serveurs de noms. Si vous ne les avez pas modifiés, ils sont gérés par votre registraire de domaine. Dans la page de configuration de votre registraire de domaine, vous devriez avoir une option pour gérer les enregistrements DNS. Il s'agit du serveur DNS public faisant autorité pour votre domaine. Entrez l'adresse IP publique de votre site ici.

Les utilisateurs externes, en supposant qu'ils se trouvent en dehors de votre sous-réseau, finiront par interroger le serveur de noms faisant autorité puisque leur serveur DNS local, où qu'il se trouve, ne connaîtra pas l'IP de votre site Web. Ils obtiendront alors l'adresse IP publique.

Lorsque les utilisateurs internes essaient d'accéder au site, ils interrogent d'abord le serveur DNS local. Comme il possède un enregistrement A pour le site, celui-ci sera renvoyé et ils ne passeront pas par l'internet.

Une troisième option consiste à créer une règle de bouclage NAT sur votre pare-feu. Pour les Sonicwall, cela donnerait quelque chose comme ceci :

Pour tout le trafic provenant d'un sous-réseau protégé par un pare-feu qui tente d'accéder à l'IP publique du site Web, redirigez le trafic vers l'IP interne du site Web.

Répondu el 24 de Mai, 2012 par Bill Sambrone (335 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X