DNS za gatewayem

David Rohleder davro na ics.muni.cz
Čtvrtek Září 11 19:32:57 CEST 1997 

> Zdravim konferenci,
> 
> mam takovy dotaz:
> 
> Pres gateway je k nam pripojena po pronajate lince
> jedna sit, ktera zatim jede pres IP masquerading.
>  Ted by ta sit chtela ziskat vlastni domenu (samozrejme
> pristupnou zvenku)- jak bych to potom
> mel vyresit v DNS na linuxu (na obou stranach),
> kdybych chtel jet dale stavajicim zpusobem
> (tj. pres masquerading).
> Ted je v nasi DNS pouze jeden SOA zaznam pro
> tu jejich gateway.
> 

To zalezi na tom, co chteji delat. Pokud by jen pasivne
vyuzivali sluzeb Internetu, pak stejne nikdo jejich vnitrni pocitace
nevidi a na vasem serveru muze zustat primarni DNS s jednim zaznamem.
Pro mapovani vnitrni site se pouzije vnitrni DNS server.
Zaznamy z vnitrniho serveru se nebudou prenaset na zadny jiny DNS server.
Pak bych na vsech pocitacich uvnitr nastavil jako prvni (a mozna jediny)
DNS server.
DNS server by pak mel odkazy na nejake "informovanejsi" DNS servery pomoci
forwarders 1.2.3.4 5.6.7.8

Jiny pripad je, pokud chce ta sit aktivne vystavovat napr. WWW stranky, FTP
atd. Pak by asi nejjednodussi reseni bylo, ze by vas DNS server byl 
sekundarni, pak by nekde maskaradovane siti byl DNS server, ktery vystavuje
vsechny verejne dostupne sluzby site (stejne by to byly jenom aliasy na 
jednu sitovou adresu vnejsiho rozhrani, ale ma to vyhodu, ze si to
muzou spravovat sami) a pak by ve vnitrni siti byl primarni DNS server 
privatni site. 
Vnitrni pocitace by mely mit jako prvni (a zase nejlepe jediny) a 
forwarders z vnejsich zdroju.

Toto usporadani ma podle mne tu vyhodu, ze pokud pouzijete nejaky druh
transparentni proxy, tak mohou byt servery poskytujici verejne sluzby
uvnitr a budou pristupne pod stejnym jmenem uzivatelum vnejsi i vnitrni
site, ikdyz budou mit pokazde jinou adresu.
Proto by primarni DNS server poskytujici verejne sluzby mel byt pristupny
pouze zvenci (to plati pouze o sluzbe DNS)

  ---> /-----\                |
       |Priv.|    forwarders  |
  ---> | DNS |----------------+------> Informovanejsi DNS
       \-----/                | 
      /-----------------------+
      | /----\                |
      |	|Ver |       zone transfer  <----------------------- ostatni 
      | |DNS |<---------------+----------------->  Second.
      | \----/                |
      \-----------------------+

Ted si uvedomuji, ze by to bylo pri komunikaci priv.DNS s forwardery
komplikovanejsi protoze by se musely obejit nejake problemy.
Ale myslim, ze tak to muze fungovat docela dobre.

> 
> Radek Andrs
> INTERDATA
> radek na indat.space.cz
> 
> 

-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------

Další informace o konferenci Linux