總部用DNS server與分店用DNS server架設問題

dns server

people10519 2016-09-05 13:00:33 ‧ 2229 瀏覽

現況描述：總部有台DNS server D1，專門給總部電腦用來作內部解析(例如：192.168.1.100對應eip.test.com.tw)與上網際網路時DNS用。DNS server D1的轉寄站有設定8.8.8.8與168.95.1.1。
總部電腦的DNS就是設定那台DNS server D1的IP。

問題：目前有好幾家分店，總部政策規定分店皆無法上外網。若一樣要用DNS server作內部解析，是否需要再架設一台DNS server，然後不需要設定轉寄站。

感恩各位前輩的不吝賜教。

看更多先前的討論...收起先前的討論...

slime iT邦大師 1 級 ‧ 2016-09-05 13:26:40 檢舉

先確定幾個狀況:
1. 分店是透過 VPN 連回總部?
2. 總部是否有防火牆?
3. DNS Server 使用的 OS ?

可能組合:
1. DNS 只有一台, 防火牆端設定禁止分店對外.
2. DNS 主機設定 view , 分公司查詢時只回應內部資料.

marx1976 iT邦新手 5 級 ‧ 2016-09-05 13:29:05 檢舉

請問，各分店與總部之間的連線，是否為 site to site VPN 呢？還有各自的網段是否相同？或是各自獨立呢？
如果各店對總部是 site to site vpn 建置，只要連線通透，各主機又都有像DNS報到紀錄，那內部解析就沒有問題。
不能上網，反而只要在防火牆上阻擋 http or https 即可，不是嗎？
如果有理解錯誤的地方，請指正，謝謝。

eric00170 iT邦新手 4 級 ‧ 2016-09-05 14:58:41 檢舉

一般人講的不能上外網也不用這麼麻煩只擋HTTP及HTTPS
乾脆就分店的source IP對外全擋就好，除非有特殊需求再做開放

另外就像上面講的，先把你內部環境先提供清楚
總部跟分店的連線是什麼?總部跟分店有沒有防火牆?
基本上只要有防火牆就好辦事，不管簡單或複雜

people10519 iT邦新手 5 級 ‧ 2016-09-06 18:32:06 檢舉

總部(Zyxel 1100)與分店(Zyxel 40)是用 site to site VPN(雙向40M)架設。而總部有台Fortigate 100D防火牆專門上外網用(另外一條線路)。
DNS Server 用的是Server 2012 R2。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

做工仔人!

iT邦大師 1 級 ‧ 2016-09-05 13:23:51

最佳解答

答案是:原則上不是另外架DNS FOR 門市用.

"總部政策規定分店皆無法上外網" : 這是門市防火牆的設定.(只要全部封包DENY 掉.就無法連外線,只留VPN )
門市與總公司間應該會有VPN . 否則門市不能上網又沒有VPN .那門市的網路要做什麼? 門市電腦的DNS 只要指到總公司的DNS SERVER D1 .就可以了.(原則上D1 這台DNS是屬於內部用的DNS)

回應 10
分享
檢舉

看更多先前的回應...收起先前的回應...

people10519 iT邦新手 5 級 ‧ 2016-09-06 22:00:51 檢舉

沒錯，門市與總公司有串VPN，是利用防火牆對防火牆串接VPN。
目前門市無法上網際網路的方式是門市的防火牆與電腦都沒有設DNS，以致無法解析，但ping外部IP(ex:8.8.8.8)仍是可行的。
若將門市的DNS設為DNS server D1，但DNS server D1的轉寄站有設定8.8.8.8與168.95.1.1，門市是不是就可以上網了。倘若要門市無法上網，是否要在哪裡進行設定，例如總部防火牆。
另外，全部門市與總部都指向同一台DNS server，Loading會不會過大，感恩前輩的回答。

做工仔人! iT邦大師 1 級 ‧ 2016-09-07 08:54:46 檢舉

先清一下觀念:

防火牆的功能 : 決定內部電腦可不可以上網或可不可以上那個網?
DNS的功能:做 domain 與 IP 的對照翻譯.

您目前沒有設定DNS ,不代表門市就不能上網. 只是門市要上網不可以用: www.104.com.tw 的方式. 但是可以用:http://122.147.53.67 的方式上網.

所以您可以在門市防火牆管理畫面上:"防火牆"->過濾器設定中設定一條過濾器規則.將門市內部要到 internet 的連線設定為"主刻封鎖" . 這樣門市才真的不能上網.
再來就是門市電腦設定 DNS 指到總公司的DNS SERVER 就好了.

加碼一下:
電腦在做DNS解析有二層(順序):

本機的"hosts" 檔
DNS SERVER

本機hosts 的使用時機: 就是某的domain 要做特別解析時.
如公司的內部網站為: bbs.domain.com.tw ->192.168.1.20 ,
給門市看的內部網站也是 bbs.domain.com>tw -> 192.168.1.25
門市的設定就可以放在 hosts 中.

people10519 iT邦新手 5 級 ‧ 2016-09-07 09:12:55 檢舉

感恩前輩的回覆，非常清楚。
只是您提及的HOSTS使用方式，
您舉的例子我還是不是很明嘹，
意思是我不用把門市電腦設定 DNS 指到總公司的DNS SERVER，
一樣可以達到 bbs.domain.com.tw 對應內部IP的效果嗎？
因為之前自己在電腦上測試過，結果無法。
是否可以煩請您再說明，感恩。

people10519 iT邦新手 5 級 ‧ 2016-09-07 09:13:58 檢舉

所以您可以在門市防火牆管理畫面上:"防火牆"->過濾器設定中設定一條過濾器規則.將門市內部要到 internet 的連線設定為"主刻封鎖" . 這樣門市才真的不能上網.

另外，您說的這個方式是否可以直接在總部防火牆設定，感恩。

做工仔人! iT邦大師 1 級 ‧ 2016-09-07 09:21:15 檢舉

我的系統是win 7
2.路徑: C:\Windows\System32\drivers\etc
檔名: hosts (不可有副案名)
設定方式: (前面不可有#)

For example:

  102.54.94.97     rhino.acme.com          # source server  
   38.25.63.10     x.acme.com              # x client host

建議:
如果可以設用dns server 處理.儘量用dns server 來處理.
真的不行才用hosts
這是為了以後著想.(不管是年久忘了或是後續接手的人)

做工仔人! iT邦大師 1 級 ‧ 2016-09-07 09:27:52 檢舉

總公司也可以 !!
防火牆的功能就是:
判斷:
**誰可以上網? **

可以將董事長/總經理/副總/經理放固定 IP ,並設為一個群組 . 讓他們可以上網. 其他的人就不行.(MIS當然可以上網)

** 可以上那個網:**
如不可以上求職網站或色情網站 . (這個要參考防火牆的功能,不同廠商的防火牆,在設定及功能上會有差異.)

做工仔人! iT邦大師 1 級 ‧ 2016-09-07 14:49:07 檢舉

另外:門市與總公司的USER 能不能上網的問題:原則上彼此間是各自獨立的.
也就是門市的防火牆設定USER 不能上網.只有在這個門市的電腦不能上網.
在總公司的電腦不會受影響.

至於門市電腦可不可以透過總公司的網路上網?
基本上是看門市防火牆上有沒有 routing : 將0.0.0.0 指到 VPN . 而且總公司的網路也同意門市來的封包可以出 internet.
(一般不會這樣設.除非是在中國大陸.考慮封網問題.才會這樣繞路.)

people10519 iT邦新手 5 級 ‧ 2016-09-10 22:43:04 檢舉

瞭解。門市原本就是不能上網的(透過不設定電腦DNS的方式)，所以確實打IP還是可以上網的。
只是門市的網段是192.168.XXX.XXX，總部是10.10.XXX.XXX，
目前門市是透過(Zyxel 40)與總部(Zyxel 1100)作ipsec vpn串接，
因門市是浮動IP，所以連上總公司時，是沒有給10.10.XXX.XXX總公司內部IP的，也就是輸入ipconfig還是只有原本192.168.XXX.XXX門市自己的IP。若我要指派DNS server的IP給門市，要如何設定呢?