請問DNS託管防火牆的設定問題

yugioh0716 2012-08-22 14:40:36 ‧ 12179 瀏覽

分享至

有申請一個新的域名，使用內部的DNS Server管理該域名內的記錄
請問在防火牆對這台DNS要開哪些PORT?

用nslookup查找域名可以找到登記的IP
目前是已經開UDP 53 連入/連出了
但外面仍無法找到 DNS下的記錄

silly iT邦好手 2 級 ‧ 2012-08-22 16:12:04 檢舉

上面說得防火牆應該是網路防火牆吧，
要不要檢查一下本機有防火牆嗎？
另外DNS有無設定存取控制？有開放給網內/外的人查詢嗎？

yugioh0716 iT邦新手 2 級 ‧ 2012-08-22 20:17:33 檢舉

DNS沒有設定存取控制
本機防火牆UDP 53有開啟

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

6 個回答

lolo

iT邦新手 4 級 ‧ 2012-08-23 09:40:16

最佳解答

yugioh0716 您好:
在內部nslookup，去查內部DNS那台主機上的XXX.lync.kyu.edu.tw紀錄，沒有問題。
在外部nslookup，去查168.95.1.1那台DNS上的lync.kyu.edu.tw紀錄，也沒有問題。
那代表DNS正常，只差在兩個DNS之間做遞迴的動作出問題，所以應該是防火牆擋住之間的DNS遞迴查詢!
那要看是硬體防火牆的policy沒有設定好(如果內部DNS查詢正常，那內部DNS server的本身防火牆的53埠應該有開)，所以你可以在硬體防火牆上開TCP 53與UDP 53都開試試看，
不然就是內部DNS發行給外部時!在硬體防火牆上設定沒有對應好!例如: 210.60.90.19:53(tcp/udp) mapping到 192.168.1.19:53(tcp/udp)

回應 2
分享
檢舉

IT緣來爐主 iT邦新手 2 級 ‧ 2012-08-23 10:02:50 檢舉

所以...yugioh0716的意思,解讀後lync.kyu.edu.tw是主機名稱,而不是"新的域名",不好意思是我搞錯了..呵

lolo iT邦新手 4 級 ‧ 2012-08-23 10:59:58 檢舉

不管網域名稱是什麼，都試著檢查看看上面所提到的部分囉!

登入發表回應

vino1

iT邦大師 1 級 ‧ 2012-08-22 14:58:26

先檢查一下..
1.是否有到該域名的管理介面將該域的DNS指到您公司內這部DNS?!
2.公司內部這部DNS的UDP 53有無在firewall開規則允許由firewall外部存取?!

回應 2
分享
檢舉

yugioh0716 iT邦新手 2 級 ‧ 2012-08-22 15:20:31 檢舉

vino1提到：
有到該域名的管理介面將該域的DNS指到您公司內這部DNS?!
2.公司內部這部DNS的UDP 53有無在firewall開規則允許由firewall外部存取?!

內部DNS防火牆是 udp 53連入/連出規則都有開

vino1 iT邦大師 1 級 ‧ 2012-08-23 08:02:21 檢舉

您是要查 cname 紀錄 lync.kyu.edu.tw ??
您內部設定了什麼?!...外部查不到什麼?!
可否貼查不到紀錄的圖來看...不然大家都看不太懂..

登入發表回應

jazozazo

iT邦高手 1 級 ‧ 2012-08-22 15:16:06

你只要開放外部可以連線53port即可
你先從外部 nslookup
server 你的dns主機ip
然後看看有沒有彈出可以查的訊息

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

yugioh0716 iT邦新手 2 級 ‧ 2012-08-22 15:30:56 檢舉

你好，目前是的狀況是外面只查的到網域和對應的IP
但裡面記錄都找不到

jazozazo iT邦高手 1 級 ‧ 2012-08-22 16:45:07 檢舉

你是指要把dns後端的主機ip也讓外部可以查詢嗎?

yugioh0716 iT邦新手 2 級 ‧ 2012-08-22 18:02:25 檢舉

不是，我的意思是外部只找得域名和對應的IP
但在內部DNS上新增的記錄(PUBLIC IP)都無法從外部用NSLOOKUP找到

jazozazo iT邦高手 1 級 ‧ 2012-08-23 09:05:44 檢舉

這樣簡單阿
你內部的dns名稱是不一樣的
舉例來說你申請的domain name 是 111.com
那你的111.com 提供讓外部可以查詢
你的內部是 111-tw.com 僅供內部查詢
而且不能轉送到外部即可
這是業界一般的做法

登入發表回應

u8526425

iT邦大師 1 級 ‧ 2012-08-22 16:44:07

一層一層來看
外部nslookup不行
那內部呢 ?

回應 1
分享
檢舉

yugioh0716 iT邦新手 2 級 ‧ 2012-08-22 17:57:28 檢舉

yugioh0716提到：
狀況是外面只查的到

內部nslookup 可以找到新增的記錄

登入發表回應

jasonlin268

iT邦研究生 2 級 ‧ 2012-08-23 11:16:42

不知道您的問題是否是有新申請一個子網域"lync.kyu.edu.tw"，
而且想用一部新增的DNS Server來管理這個子網域，
如果問題是如上述，
剛剛查詢了一下您的上層網域"kyu.edu.tw"的DNS Server並未委派將子網域的查詢給您新增的DNS Server，所以您由外部自然查詢不到新增子網域的紀錄。
因此需請"kyu.edu.tw"的DNS Server管理者新增一個"lync.kyu.edu.tw"的子網域委派到您的DNS Server。

回應 3
分享
檢舉

yugioh0716 iT邦新手 2 級 ‧ 2012-08-23 21:56:35 檢舉

這的子網域的委派是要如何做呢?
網路不是我在管理的，有更動都要申請的說..

slime iT邦大師 1 級 ‧ 2012-08-24 02:48:32 檢舉

yugioh0716提到：
這的子網域的委派是要如何做呢?
網路不是我在管理的，有更動都要申請的說..

是的, 需要向 kyu.edu.tw 的管理者申請, 申請通過後, 其他人的查詢才有可能到您的主機上查詢到您的設定.

Domain Name 是需要層層授權才可以使用, DNS 只是查詢資料的服務而已.

jasonlin268 iT邦研究生 2 級 ‧ 2012-08-24 13:24:30 檢舉

應該是要向貴校電算中心提出"資訊需求變動申請"或是其他申請程序，由電算中心修改他們管理的DNS Server "dns.kyu.edu.tw"紀錄，加上一筆"lync.kyu.edu.tw"子網域的委派(或稱授權)指向您所管理的DNS Server。
由於網域的查詢是層層授權管理的，所以如果要由外部能查詢到您的DNS Server，則取得您的上層網域DNS Server的委派授權是必須的。

登入發表回應

IT緣來爐主

iT邦新手 2 級 ‧ 2012-08-28 18:34:24

目前的想法是加上NS記錄

噗~~
早就說沒看到NS記錄了... 但為何我PO的回文會消失....
難到是月~~

回應 3
分享
檢舉

yugioh0716 iT邦新手 2 級 ‧ 2012-08-29 02:48:05 檢舉

我確實沒看到您的回覆呢！

jasonlin268 iT邦研究生 2 級 ‧ 2012-08-30 10:41:13 檢舉

呵呵，當初看kaku大的回文就覺得好像少了甚麼，原來是之前的回文消失了，嗯...我要去檢查一下機房的乖乖過期了沒？

話說kaku大指出的在[kyu.edu.tw]底下查不到[lync.kyu.edu.tw]網域的NS紀錄，其實也就是[kyu.edu.tw]的DNS Server沒有做子網域[lync.kyu.edu.tw]委派授權的結果。
今天再測試一下環境：
步驟1：和kaku大一樣先測試在[kyu.edu.tw]底下是否能查到[lync.kyu.edu.tw]的NS紀錄，不過結果還是只查到"kyu.edu.tw"，表示還沒有做子網域的委派授權，不過這部分的設定必須是由[kyu.edu.tw]網域的DNS Server管理者才能設定。
步驟2：假設PO文版大在[lync.kyu.edu.tw]子網域的DNS Server是"lync.kyu.edu.tw IP=210.60.90.19"，則測試的結果發現無回應，如果內網設定沒有問題，則外網的防火牆設定應該還是沒有設定好，除內外網IP的對應外，tcp/udp port 53也都需開啟。