Архив форумов ЦИТФорума

[Pablo]

Как это может быть вместе?
Есть ЛВС, подключённая к Интернет через FireWall с использованием NAT (и PAT). Но, внутренняя DNS оторвана от DNS Интернета (со всеми вытикающими ...). Как построить DNS с подчинённым (проавйдеру) DNS сервером, собственными sub-домменами и т.д.
Как объединить DNS? Как работает разрешение DNS в такой среде (c NAT-ом)?
Что почитать, где научиться? Спасибо.

[and3008]

Немного не понятно зачем разрешать провайдеру рулить внутренним DNS-сервером...
Оно тебе надо???

[Pablo]

Надо. Потому, что речь идёт: (1) не об одном сервере DNS, а о DNSystem; (2) а провайдер будет рулить не моим сервером (хотя бы и одним), а данными одной зоны (одного домена, не "руля" моими внутренними sub-доменами).

[and3008]

Ну я не вижу никаких проблемм.

Пусть провайдер заведет но своем DNS зону, которой будет управлять. Это будет первичный DNS. А ты свои сервера настрой чтоб они забирали зону у провайдера. Т.е. твои сервера будут вторичными для этой зоны.

Вот теперь нет никаких проблемм.

Есть, правда, одно НО. Время обновления зоны.
Сервер провайдера не сможет посылать твоим серверам notify-сообщения, т.к. твои сервера стоят за NAT.

Ну поставьте TTL у зоны на 4-5 часов. Хватит, наверно, если зону не очень часто обновлять.

[Pablo]

1. NAT не является препятствием для обновления зоны по notify от сервера провайдера. (Стат. трансляция, и т.д.)
2. Своевременные (и соответственно оптимальные) обновления DNS информации - одна из основных причин (целей), требующая объединения внутренней DNS с DNS Интернет.
3. Вопрос на засыпку.
Как ты себе представляешь работу распознавателя у клиента во внутренней сети, который работает в одной (едином DNS пространстве) DNS, и разрешает адреса как в внешней сети, так и во внутренней. ?
*** Например, почтовый сервер стоит за NAT-ом. С "маршрутной" (адресной) точки зрения, для внешних хостов у него один адрес, а для внутренних другой. А имя то (DNS) - одно, потомучто DNS одна. А? (Я не понимаю.)

[and3008]

1. NAT как раз и является препятствием, если NAT делается у тебя в сети, а не в сети провайдера. Если NAT делается на своем сервере (роутере), то вся твоя сеть со стороны Интеа видна под одним IP-адресом. Кому notify посылать? Этому IP-адресу? А если там DNS-сервера нет, тогда чего?

2. Не представляю себе для чего это надо понадобится. Сдается мне вы что-то неправильное придумали. Все нормальные люди стремятся изолировать внутренние DNS-серверы от внешних. Допускается обращение внутренних к внешним, но не наоборот. Иначе потенциальный хакер может легко узнать много интересного о составе и структуре внутренней сети. Про атаки на внутренние DNS я вообще молчу. Это в большинстве случаев смерти подобно. Как для сети, так и для того, кто ей управляет.

3. Все элементарно. DNS-сервер настраивается таким образом, что все неизвестные ему запросы отправляются на сервер провайдера.
В BIND-е это делается опцией forward {список серверов};

[Pablo]

, тем не менее:
1. NAT - не "глухой бетонный забор". Иначе, нельзя было бы внешнему хосту (например, smtp.myfrend.net) обратиться к хосту, стоящему за NAT-ом (например, mail.mydomain.ru). (аналогично, ftp. случай, и пр.) (Давайте не будем путать NAT с PAT-ом. И не будем ссорится. )
2. Возможно, я что-то неправильное придумал. Но, я не стремлюсь всю внутреннюю NDS открывать всему миру, или давать кому-нибудь извне доступ к тем моим DNS серверам, которые поддерживают мои внутренние sub-домены. Наличие одного подчинённого (подолнительного) сервера для mydomain.ru у меня за NAT-ом не требует этого. (Потенциальный хакер узнает не многим более того, что он может узнать на основном сервере у проавйдера.)
3. Все неизвестные - да. А что делать с кэшем? TTL??? - не оптимальное решение - или длительные интервалы "неразрешимости", или неоправданно высокий трафик.
4. Спасибо за дискуссию.
5. ? (Вопрос открыт.)

[Dmitry.Karpov]

Как провайдер может управлять твоим DNS-сервером? Ты хочешь дать ему рутовые права на своей машине? Или ты умеешь делегировать полномочия по управлению отдельными службами?

Почитай доку по DNS на http://www.pi2.ru/prof - многое прояснится. Провайдер вообще дает IP-доступ, а делегирование зоны можно брать у кого угодно, но только на "реальный" IP-адрес, доступный извне.

А ставить самоприсвоенную DNS-зону на машине с самоприсвоенным IP-адресом (10.*.*.*, 172.[16..31].*.* или 192.168.*.*) для обслуживания внутренних IP-адресов - святое дело.

[and3008]

1. Имеем сервак в Инете (А). Имеем сеть, закрытую NAT. Имеем сервер в этой сети (Б).

А теперь расскажи нам, мил человек, каким образом сервер А сможет связаться с сервером Б, если NAT ничего, кроме транляции адресов не делает? Ты ведь не сказал, что у тебя управляемый и гибко настраиваемый NAT.
Рассказывай. Ждем-с.

2. Вопрос о целесообразности предлагаю закрыть. Надо - значит надо.

3. Рекомендуется на NAT, а вернее на пограничном устройстве, делать перенаправление трафика от DNS-провайдера (и только от него) на твои внутренние DNS-сервера. Таким образом решается проблемма notify. Так же очень рекомендуется шифровать трафик при передачи зоны. Так, на всякий случай.

4. Вопросы обновления и управления зонами DNS вообще должны решаться со спецами провайдера. Я удивлен столь долгой и общирной дискуссией на эту тему.
Тамошние спецы чего говорят? Молчат?

[Pablo]

[and3008]

-