公司有AD網域,有一台對外防火牆,內部架設一台DNS(192.1.1.1),和二台伺服器aaa.test.com.tw(192.1.1.2)和bbb.test.com.tw(192.1.1.3),向中華申請的固定IP(220.220.220.220,220.220.220.221),
請問我在DNS上設定A記錄aaa->192.1.1.2及bbb->192.1.1.3,內部使用者192.1.1.66可以連線aaa和bbb這二台伺服器,但外部使用者就無法連到這二台伺服器了,
那我應該怎麼設定防火牆,讓外部的人打aaa.test.com.tw和bbb.test.com.tw可以連到內部的伺服器呢?
還是我需要再架設一台DNS讓外部的使用者可以查詢到對應的內部伺服器,這要怎麼設定?防火牆又需要如何調整?謝謝
我看你上一篇已經問過了...
test.com.tw有沒有買網域?
沒有->VPN解
使用者通通VPN進公司內網才能瀏覽網站
或者用虛擬IP(見下面),但使用者通通只能打IP才能瀏覽網站
有->外部DNS加虛擬IP解
外部DNS設A紀錄
aaa.test.com.tw 220.220.220.220
bbb.test.com.tw 220.220.220.221
防火牆設
220.220.220.220->192.1.1.2
220.220.220.221->192.1.1.3
你的設定模式就是我目前的做法,但這個做法對內部的使用者來說,變成無法直接連上內部伺服器,會先出去防火牆後,再透過防火牆連接內部伺服器,
可能是我的表達有錯誤,我是希望內部使用者192.1.1.66連接aaa.test.com.tw時,可以直接連接到內部伺服器192.1.1.2,而外部使用者連接aaa.test.com.tw時,則透過防火牆將220.220.220.220轉到內部的192.1.1.2伺服器,
不知有什麼方式可以達成上面的連線方式,謝謝!
內部DNS A紀錄 aaa.test.com.tw 192.1.1.2 / bbb.test.com.tw 192.1.1.3
外部透過外部DNS走虛擬IP轉,內部用內部DNS轉
所以是要再加一台DNS嗎?一台對內給內部使用者,一台對外給外部使用者,那不知這樣的二台DNS該怎麼架呢?
內部使用者的網路DNS設定,應該就是指向AD呀
AD本身也負責DNS服務,他也會負責所有內部網域的查詢
內部使用者連接aaa.test.com.tw → 找AD查詢該筆紀錄→返回192.1.1.2
還是user端的DNS是直接設定成外面的公共DNS?
會造成user走到WAN的原因大概就是因為user端的DNS沒有指向內部AD,所以user都解析到public ip
如果你的網域是跟Hinet買的,可以使用Hinet DNS代管功能
在Hinet DNS代管上設定aaa.test.com.tw 的IP為220.220.220.220
內部仍是使用內部的DNS不衝突
通常買網域就會附贈DNS,m大意思就是外部要連就用外部網域的DNS處理就好了,如果你沒買網域,外部的人沒有辦法透過 domain 連進來你的機器,因為test.com.tw不是你的,你無法控制。
aaa.test.com.tw設定成220.220.220.220 在防火牆上設定loopback就可以運作
上次回答不早告訴你了-.- FORIGATE搞VIP啦
如果你要內部用戶用WAN IP也可以瀏覽到那兩個SERVER, 就得搞個NAT LOOPBACK