防火牆與DNS設定

防火牆 dns

cjlin 2024-12-10 20:50:12 ‧ 1614 瀏覽

分享至

公司有AD網域，有一台對外防火牆，內部架設一台DNS(192.1.1.1)，和二台網頁伺服器aaa.test.com.tw(192.1.1.2)和bbb.test.com.tw(192.1.1.3)，向中華申請的固定IP(220.220.220.220)，
請問我在DNS上設定A記錄aaa->192.1.1.2及bbb->192.1.1.3，不知這樣設有沒有錯？
另外怎麼設定防火牆，讓外部的人打aaa.test.com.tw和bbb.test.com.tw可以連到各自對應的網頁伺服器呢？謝謝！

窮嘶發發發 iT邦高手 1 級 ‧ 2024-12-11 09:23:02 檢舉

1. 私人IP 網段有三各網段，加上 APIPA 總共四各網段，你私人建議使用私人網段設定
2. DNS HOSTING 服務要內外區隔，對外的紀錄不能有私人IP，對內的不能有公眾IP
3. 因為有AD，建議不要讓 AD 的 DNS 紀錄可以讓外部查詢，會出事
4. 確認有多少的WEB 用戶端，原則上低於一千人請合併成一台就好
5. 合併後的WEB 主機，可以使用同一各 80埠，WEB服務本身設定監聽各自的連線要求即可
樓下有人建議用虛擬IP端口對映，基本上不建議，當然如果你的網站是內部使用
可以這麼做，對外不建議這麼做，因為預設沒有人知道 1-65535 你會用哪一個

mytiny iT邦超人 1 級 ‧ 2024-12-12 10:04:38 檢舉

經過許多的討論
才知道樓主的防火牆是Fortigate(型號?)
既然用的是知名品牌
且樓主自身又不熟相關建置
為何銷售設備的SI不提供技術服務呢?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

rb1102

iT邦研究生 2 級 ‧ 2024-12-11 00:43:28

最佳解答

首先，DNS通常會區分外部DNS跟內部DNS
外部DNS是給外部的人查詢你對外提供的服務
外部DNS可以自建也可以由域名商代管，主要看你的設定
你應該要在你的外部DNS上建立兩筆A紀錄
然後在防火牆上設定DNAT(Virtual IP)並且設定port forwarding

如果你只有一個public ip，如果是Fortigate，應該是建立virtual Server去處理
不然就得從VIP port forwarding到其他port去

你在AD上建立的 A記錄aaa->192.1.1.2及bbb->192.1.1.3
這只是提供內部使用者查詢而已，外部的人查不到

回應 3
分享
檢舉

EGG iT邦新手 5 級 ‧ 2024-12-11 08:09:10 檢舉

學到了，那內部DNS是指像DNS伺服器或是電腦本身的設定嗎?
謝謝

cjlin iT邦新手 4 級 ‧ 2024-12-11 09:02:31 檢舉

謝謝你的解說，我看怎麼改！

尼克 iT邦大師 1 級 ‧ 2024-12-16 11:20:21 檢舉

學到了，要給最佳解答

登入發表回應

cmwang

iT邦大師 1 級 ‧ 2024-12-10 22:54:59

Internet上的人只能連到Public IP,所以供外界查詢的DNS上A RR只能是Public IP(i.e 220.x.x.x),至於這個Public IP要怎麼mapping到真正的Web server通常是由FW控制的,Forti的名詞叫Virtual IP,如果只有一個Public IP要mapping到一個以上的Web site的話,一般是由web server做named virtual server,您參考參考吧....

回應 1
分享
檢舉

cjlin iT邦新手 4 級 ‧ 2024-12-11 09:00:47 檢舉

謝謝你的解說，我再來調整設定！

登入發表回應

by2048

iT邦高手 1 級 ‧ 2024-12-11 09:08:58

192.1.1.x 是配給美國 RTX BBN Technologies, Inc.
區網都是用192.168.1.x

內部不用再設dns
220.220.220.220 對內的一台web ip,可以同時有兩個domain name
可在apache or IIS 同時設aaa.test.com.tw,bbb.test.com.tw

但如果兩台web不同os上述方法行不通,只能換不同的外部port才行

回應
分享
檢舉

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2024-12-11 14:36:29

你對外的防火牆是什麼?

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

cjlin iT邦新手 4 級 ‧ 2024-12-11 15:10:22 檢舉

forti

bluegrass iT邦高手 1 級 ‧ 2024-12-11 16:14:39 檢舉

那麼就簡單多了

假設你 aaa.test.com.tw 和 bbb.test.com.tw 都已經購買及更了相關A RECORD

FORTI上面搞VIRTUAL IP, 把你對應的WAN IP指向你那兩SERVER

比如 220.220.220.222 = 192.1.1.2
比如 220.220.220.223 = 192.1.1.3

再把這兩個VIRTUAL IP放到FIREWALL POLICY上啟用就完事了
https://www.youtube.com/watch?v=czClo4ztgWs&ab_channel=CybowPoint

窮嘶發發發 iT邦高手 1 級 ‧ 2024-12-12 10:59:28 檢舉

樓主只有 220 這個IP啊
222 是樓上公司用的 223 是隔壁公司用的
沒有權限拿來用啊 ...

bluegrass iT邦高手 1 級 ‧ 2024-12-12 16:00:10 檢舉

也一樣得VIRTUAL IP啊, 就是網頁會怪怪了

可能是
220.220.220.220:9443 = 192.1.1.2:443
220.220.220.220:8443 = 192.1.1.3:443

也即是
aaa.test.com.tw:9443 = 192.1.1.2:443
bbb.test.com.tw:8443 = 192.1.1.3:443

醜死了. XD

登入發表回應

ming9900

iT邦新手 4 級 ‧ 2024-12-12 11:04:10

1、如 by2048 所說的，版主公司內網用的 IP 網段：192.1.X.X 是 Public use，是會和 Internet 的 IP 沖到的。
這是一個隠患，建議版本要規劃一下如何改正。
不然有一天如果你合作的廠商或客戶，剛好是用這個192.1.1 網段，你就會發現你在公司永遠開不了對方的網頁。

2、外部 DNS,是讓Internet 使用者可以查到你公司的 FQDN，這又要看你公司 Domain 網域是和那裡申請的，Domain 是用主機模式(託管) / DNS模式(自已架DNS) ？
如果託管，那你可以直接在託管頁面上，加A紀錄
aaa.test.com.tw ＝220.220.220.222
bbb.test.com.tw ＝220.220.220.223

如果是DNS模式(自已架DNS)，那你公司應該有1台外部DNS，上面就是要自行設定外部DNS的查詢 A紀錄。

3、FortiGate Virtual IPs 對應 & Policy Allow
這個設定，其他大大都說得差不多了，我就不多說。
如果你設定有問題，應該可以找FW 的經銷商幫忙，Fortigate 的設定很親民，網路上教學也多。