公司有AD網域,有一台對外防火牆,內部架設一台DNS(192.1.1.1),和二台伺服器aaa.test.com.tw(192.1.1.2)和bbb.test.com.tw(192.1.1.3),向中華申請的固定IP(220.220.220.220,220.220.220.221),
請問我在DNS上設定A記錄aaa->192.1.1.2及bbb->192.1.1.3,內部使用者192.1.1.66可以連線aaa和bbb這二台伺服器,但外部使用者就無法連到這二台伺服器了,
那我應該怎麼設定防火牆,讓外部的人打aaa.test.com.tw和bbb.test.com.tw可以連到內部的伺服器呢?
還是我需要再架設一台DNS讓外部的使用者可以查詢到對應的內部伺服器,這要怎麼設定?防火牆又需要如何調整?謝謝
已邀請的邦友 {{ invite_list.length }}/5
我看你上一篇已經問過了...
test.com.tw有沒有買網域?
沒有->VPN解
使用者通通VPN進公司內網才能瀏覽網站
或者用虛擬IP(見下面),但使用者通通只能打IP才能瀏覽網站
有->外部DNS加虛擬IP解
外部DNS設A紀錄
aaa.test.com.tw 220.220.220.220
bbb.test.com.tw 220.220.220.221
防火牆設
220.220.220.220->192.1.1.2
220.220.220.221->192.1.1.3
你的設定模式就是我目前的做法,但這個做法對內部的使用者來說,變成無法直接連上內部伺服器,會先出去防火牆後,再透過防火牆連接內部伺服器,
可能是我的表達有錯誤,我是希望內部使用者192.1.1.66連接aaa.test.com.tw時,可以直接連接到內部伺服器192.1.1.2,而外部使用者連接aaa.test.com.tw時,則透過防火牆將220.220.220.220轉到內部的192.1.1.2伺服器,
不知有什麼方式可以達成上面的連線方式,謝謝!
內部DNS A紀錄 aaa.test.com.tw 192.1.1.2 / bbb.test.com.tw 192.1.1.3
外部透過外部DNS走虛擬IP轉,內部用內部DNS轉
所以是要再加一台DNS嗎?一台對內給內部使用者,一台對外給外部使用者,那不知這樣的二台DNS該怎麼架呢?
內部使用者的網路DNS設定,應該就是指向AD呀
AD本身也負責DNS服務,他也會負責所有內部網域的查詢
內部使用者連接aaa.test.com.tw → 找AD查詢該筆紀錄→返回192.1.1.2
還是user端的DNS是直接設定成外面的公共DNS?
會造成user走到WAN的原因大概就是因為user端的DNS沒有指向內部AD,所以user都解析到public ip
我只有一台AD上的DNS服務,所以內部使用者也是使用這台DNS,但如果DNS的A記錄是設aaa.test.com.tw->192.1.1.2的話,那麼外部的使用者就連不到aaa.test.com.tw了,若把aaa.test.com.tw改設成220.220.220.220,就會變成外部使用者可以連的到aaa.test.com.tw,但內部使用者就連不到,
針對這個狀況,請教有什麼方式可以解決呢?謝謝!
如果你的網域是跟Hinet買的,可以使用Hinet DNS代管功能
在Hinet DNS代管上設定aaa.test.com.tw 的IP為220.220.220.220
內部仍是使用內部的DNS不衝突
iThome鐵人賽
看影片追技術