Intranet nameserver

Leos Bitto bitto na atrey.karlin.mff.cuni.cz
Středa Listopad 12 14:28:41 CET 1997 

On Wed, 12 Nov 1997, Martin Mares wrote:

> Dobry den,
> 
> >    Uz nejaky cas resim, jak vytvorit DNS server pro intranet, tj. sit bez
> > primeho pristup do Internetu. Uz se mi podarilo rozchodit primou i
> > reversni DNS, ale objevil se novy problem, se kterym si nedokazi poradit.
> > Jde o to, ze chci, aby firewall (tj. pocitac s pristupem do Internetu i
> > intranetu) dokazal resolvnout oba druhy adres. Dam si tedy do resolv.conf
> > obe adresy (Interneti i intranetovy DNS). Jenze s tim je problem. Jakmile
> > prvni DNS server adresu nenajde, tak resolver uz se na druhy nameserver
> > neobrati. Tj. bud funguje resolving Internetovych jmeno, nebo
> > intranetovych, ale ne oboji najednou.
> >    Pomohlo by, kdyby se named dal nakonfigurovat aby neodesilal zaporne
> > odpovedi - nevite, jestli to jde?
> 
>    Mne napada jedno reseni: aby na firewallu bezel dalsi DNS server, ktery
> by fungoval jako sekundarni pro intranet a soucasne byl ochoten posilat
> dotazy ven. Tim by se snad vsechny problemy trivialne vyresily.
> 

No jo, ale to pak je z Internetu videt DNS vnitrni site. Mozna to nevadi,
mozna jo. 

Ja to resim tak ze na firewallu skutecne pustim DNS server, ale ten neni
sekundarni pro intranet. Do /etc/resolv.conf firewallu nedam jako prvni
nameserver 127.0.0.1 ale adresu puvodniho nameserveru v intranetu. 
Nameserevr 127.0.0.1 dam az jako druhy. Ten nameserver v intranetu
nastavim tak aby vsechny dotazu predaval namserveru na firewallu
(forwarders fi.re.wa.ll, slave). Vsem pocitacum pak nastavim aby jako
primarni nameserver pouzivali ten nameserver v intranetu a jako sekundarni
ten na firewallu (zaloha). 

Tim ziskavam navic moznost aby v domene (napr.) firma.cz bylo videt neco
jineho z intranetu a neco jineho z Internetu - firewall nastavim jako
primarni pro domenu firma.cz a zapisu ho do "oficialniho" Internetoveho
DNS. Obvykle nechci aby z Internetu bylo v DNS videt cokoliv jineho nez
WWW a FTP server. Stanice stejne jdou ven pres Squid a IP masquerading.

Rozhodne existuje spousta jinych reseni, tohle je moje varianta a
osvedcila se.



Leos Bitto

Další informace o konferenci Linux