iT邦幫忙

0

內部DNS+防火牆+外部DNS相關問題

我用的是WIN2008R2,內部DNS用在AD網域查詢,外部DNS是查詢跟ISP登入的網域名稱(是這樣麼??),兩個中間加了一個防火牆,假設我架設一個網站在內部那USER要看我的網站應該是要放內部DNS內嗎,這架構是怎樣呢我並不是很清楚可以請高手詳加解釋一下嗎或是可以給我能參考的網站感恩喔。

6
conandexter
iT邦好手 10 級 ‧ 2011-10-28 10:24:37
最佳解答

您好!

內部DNS是提供AD網域做查詢這點是沒有錯的,但外部DNS你的理解似乎有點怪怪的,可能是我誤會你啦,不過我還是大概講一下:

沒錯,我們可以跟ISP申請一個網域名稱,比方叫「abc.com」,
又假設這個網域名稱對應到123.123.123.123這個IP。

今天你在某台主機上架了一個網站,你想要讓這個網站對外,通常會想要設定像這樣的網址「www.abc.com」來讓使用者連線。

如果你有學過網址的IP查詢過程,比方拿上面的「www.abc.com」來說明,你應該會知道對方會先到負責「.com」的主機那裏做查詢,然後對方就會被導引到「abc.com」作查詢,也就是負責這一層查詢的就是你自己建立的DNS,然後對方要查「www」這台主機是對應哪一個IP,那就是你要設定的部分,你設定什麼就會回覆給對方什麼。

如果你防火牆是設定成NAT模式,那麼防火牆對外的IP應該就是設定成「abc.com」所對外的IP「123.123.123.123」,然後會分成如果是要做DNS查詢導引到負責DNS的主機,如果是要連網站就導引到負責網站的主機這樣,通常這裡會用內部IP。

因為不管在防火牆內部有多少台主機要對外,對外的IP永遠就只有123.123.123.123一個,所以你DNS對外的查詢不管哪台主機應該也只會回復這一個,除非你有一台機器比方是mail的好了它放在防火牆外面,對外用的是另一個IP,那麼你DNS就要回覆這個IP。

所以你應該也會注意負責外部查詢的DNS一定是要放在abc.com所對應的IP這裡。

以上是外部的情況。

那麼內部就單純多了,對內來說網址什麼的都不需要,不用打那麼長,因為你只要用主機名稱就可以連了,因為內部DNS本來就是讓使用者查內部的主機名稱所對應的內部IP之用的。

比方說http://www.abc.com對外面的使用者來說可以連到叫WEB的這台主機,那麼對內部來說只要打http://web就能連到了。

當然內部也能用http://www.abc.com來連,只是因為會解析成外部的IP,
所以會繞出去從防火牆外面連進來。

希望有幫到你!

14
vino1
iT邦大師 1 級 ‧ 2011-10-27 23:56:02

TWNIC DNS教學(請把教學內容中的IP分享器當成您的防火牆)
案例一:一個固定IP,一個域名,內外部DNS
http://dns-learning.twnic.net.tw/case/case3.html
案例二:多個固定IP,一個域名,內外部DNS
http://dns-learning.twnic.net.tw/case/case4.html

TWINC_DNS與防火牆
http://dns-learning.twnic.net.tw/dns/04FireDNS.html

8
woody711
iT邦新手 2 級 ‧ 2011-10-28 08:19:42

DNS最緊要的就是不要搞混!
內部就是內部,外部就是外部!
中間的防火牆就是讓你分清楚內部跟外部,相信你應該會清楚!你自己在防火牆上設定NAT或PAT,是告訴外部的人要怎樣可以連到你的網站主機IP,通常在內部都是直接連線內部的IP到你的網站,在提醒你一次,內部就是內部,外部就是外部!
謝謝

我要發表回答

立即登入回答