DNS內部轉指問題

dns 防火牆 dns轉址

snow2033 2025-04-24 16:42:38 ‧ 1757 瀏覽

分享至

各位先進前輩們好!

目前公司遇到一個問題是
我們有自行架設一個Windows DNS_Server
其中有一筆 ,A紀錄
www.test.com 61.xx.xx.xx

www.test.com是我們的服務系統
但因為該服務是用固定IP對外使用,原因是分公司也是使用同一套系統,
當然也有把分公司IP加入該服務前的防火牆白名單,因公司間目前尚未建置VPN
但目前我們想讓總公司把www.test.com解析為 > 192.168.1.4
希望讓服務少走一點外部節點,同使減少request數量

防火牆可以做到這個功能嗎? DNS轉發?

目前我司使用 Zyxel USG 500 的防火牆
但稍微查了一下 Nebula似乎無法做到該功能但因為綁定Nebula而無法使用本地設定滿奇怪的

所以上來詢問各為前輩解法

窮嘶發發發 iT邦高手 1 級 ‧ 2025-04-25 08:34:37 檢舉

總公司跟分公司假如是兩個地點，彼此間沒有專線沒有VPN，樓主說的做不到
192.168.x.x 是私人網段，假設分公司內部也用 192.168.1.x ，很湊巧都有主機用 .4 這個IP
請問USER 要怎麼分辨他要連的是哪一台，就算做專線做VPN，這些基礎規劃想過沒 ?

phl0722 iT邦好手 8 級 ‧ 2025-04-25 12:59:26 檢舉

分公司電腦少的話...就用HOST檔解決較快

magicdoufu iT邦新手 5 級 ‧ 2025-05-01 17:25:45 檢舉

split DNS? 但你們DNS應該是外部的吧？總公司使用DHCP靜態方案(就是mac-ip pair)的話應該可以分配時指向內部的DNS，內部DNS只有internal Record，剩下fallback回外部DNS。可能要看能不能針對NIC做設定，來自某NIC流量全部解析成內部IP。

登入發表討論

熱門推薦

{{ item.channelVendor }} | {{ item.webinarstarted }} |

直播中

4 個回答

zero

iT邦好手 1 級 ‧ 2025-04-24 17:41:35

假如 test.com 是你們公司的網域

那在外部的DNS上會有一筆A紀錄 www 對應 61.xx.xx.xx

如果你要將 www 對應 192.168.1.4

在你們自己內部的DNS上新增一筆A紀錄 www 對應 192.168.1.4

然後在用戶端設定第一個DNS為內部DNS的IP位置

這樣用戶端DNS第一個回應的就是 192.168.1.4 而不是外部DNS的 61.xx.xx.xx

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

snow2033 iT邦新手 4 級 ‧ 2025-04-24 18:13:49 檢舉

原來如此!
所以我在內部DNS 新增 www > 192.168.1.4
內部DNS為 192.168.1.5
外部DNS為 220.x.x.x
然後Router DHCP Server
派發DNS : 192.168.1.5,220.x.x.x

這樣子他會優先從192.168.1.5去抓
www > 192.168.1.4
對嗎?

但額外問題..
因為該網域底下我們有一些其他對外服務
假設www.test.com > 192.168.1.4
cmos.test.com > 61.x.x.1
tmos.test.com > 61.x.x.2

我想讓cmos,toms還是走對外IP的話,是不是要在內部DNS額外設定呢?

snow2033 iT邦新手 4 級 ‧ 2025-04-24 18:18:39 檢舉

因為我之前有嘗試過,在內部DNS Server
只針對 Www.test.com 去做對應
而沒有把cmos.test.com等等子網域加上去,
從而造成除了www以外全部都會解析錯誤他們在192.168.1.5的DNS Server只找到www 而未找到cmos

zero iT邦好手 1 級 ‧ 2025-04-24 18:25:59 檢舉

DNS回應很單純,用戶端指定哪台就是問哪台

指向內部DNS就是問內網,指向外部就是問外網

DNS紀錄查詢也很簡單,有紀錄就回,沒紀錄就是往外部DNS查

要注意的是沒紀錄往外查的是DNS伺服器去查而不是用戶端

cmos要走外部IP,那在內部DNS新增A紀錄

讓cmos對應的是外部IP即可

不要在外部DNS內新增內部IP的A紀錄就好,會有資安疑慮

zero iT邦好手 1 級 ‧ 2025-04-24 18:31:45 檢舉

我不知道你的Windows DNS Server是哪一種DNS

是AD整合的DNS ? 還是獨立的DNS ?

整合AD的DNS要注意內外網域名稱如果是一致的話

你要新增好對應的A紀錄,不管A紀錄的IP是內還是外

如果網域名稱不同的話,只要設定DNS轉寄就可以了

不需要一筆一筆的去新增外部IP的A紀錄

snow2033 iT邦新手 4 級 ‧ 2025-04-24 18:44:36 檢舉

應該算是獨立的
但我只需要其中一筆A紀錄是轉內部的,其他照舊的情況下
我該如何去設定DNS轉寄呢?

zero iT邦好手 1 級 ‧ 2025-04-24 19:27:32 檢舉

你原本的設定如果會順利往外查詢就不用去改了
專注你要解析內部IP的那筆紀錄去設定就好了

登入發表回應

ming9900

iT邦新手 3 級 ‧ 2025-04-25 03:56:45

DNS應該把內部DNS和外部DNS分開，二台DNS各做各的

外部DNS上只有 61.x.x.x 的紀錄
內部DNS上，設定內部 192.168.1.X 的紀錄
PS：如果有托管的雲端服務，比如 Email ，那內部 DNS + 外部DNS，都要針對雲端服務IP，設相同的 FQDN

例：
外部DNS Zone: test.com
A紀錄：
www.test.com ->61.x.x.x
mail.test.com ->211.x.x.x (假定這是托管，非總公司內部主機)
MX紀錄：
test.com -> mail.test.com

內部DNS Zone: test.com
A紀錄：
www.test.com ->192.168.1.4
mail.test.com ->211.x.x.x
MX紀錄：(空的，內部PC不需要MX，只需A紀錄)

回應
分享
檢舉

登入發表回應

zyman2008

iT邦大師 6 級 ‧ 2025-04-25 07:58:12

去看了一下你說的那個甚麼 Nebula 的 Demo 網站.
防火牆是可以設定 DNS 轉發的.

所以就看你目前DHCP Server派給用戶端的DNS Server是指向內部Windows DNS Server,還是防火牆,再做相對應的設定.
如果用戶端DNS指向防火牆:
(1)在防火牆設定 Domain Zone Forwader, domain:www.test.com, DNS server: 內部 DNS server.
(2)內部 DNS Server設定 DNS Zone: www.test.com, www.test.com 指向 192.168.1.4

如果用戶端DNS指向內部Windows DNS Server:
(1)在內部DNS Server設定 DNS Forwarder到防火牆, 不要設定 www.test.com
(2)在防火牆設定 www.test.com A 紀錄, 指向 192.168.1.4

切記:
如果內部DNS Server只有一台,DHCP server只要派用戶端一個 DNS Server IP 就好.
依上面情境指向防火牆,或是DNS Server.
不要派兩個DNS Server IP,一個指防火牆,一個指內部DNS Server或是外部DNS Server.
(若有內網DNS Server,正確備援設計就是要有兩台內部DNS Server,一台master/一台slave做同步)
我看到管理者最常犯的錯就是,有架內部DNS Server和建內部DNS record.
DHCP就設定派一個內部 DNS Server和一個外部DNS Server.
這樣會發生用戶查內部DNS record,卻跑去問外部DNS Server的問題.
因為DNS client的查詢行為,要看各個作業系統的DNS client查詢演算設計,不是你所想像的單純的一定先查第一台DNS server,再查第二台DNS Server.

參考: 當時 Windows DNS client的複雜演算設計(現在Windows 11也不知道是否還是這樣)
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd197552(v=ws.10)