Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Pablo
Зарегистрирован: 08.10.2002 Сообщения: 8
|
Добавлено: Вт Окт 08 2002 17:36 Заголовок сообщения: DNS в режиме "разделённого мозга" и технология NAT. |
|
|
Как это может быть вместе? Есть ЛВС, подключённая к Интернет через FireWall с использованием NAT (и PAT). Но, внутренняя DNS оторвана от DNS Интернета (со всеми вытикающими ...). Как построить DNS с подчинённым (проавйдеру) DNS сервером, собственными sub-домменами и т.д. Как объединить DNS? Как работает разрешение DNS в такой среде (c NAT-ом)? Что почитать, где научиться? Спасибо. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 09 2002 07:37 Заголовок сообщения: Re: DNS в режиме "разделённого мозга" и технология NAT. |
|
|
Немного не понятно зачем разрешать провайдеру рулить внутренним DNS-сервером... Оно тебе надо??? |
|
Вернуться к началу |
|
|
Pablo
Зарегистрирован: 08.10.2002 Сообщения: 8
|
Добавлено: Ср Окт 09 2002 09:31 Заголовок сообщения: Re: DNS в режиме "разделённого мозга" и технология NAT. |
|
|
Надо. Потому, что речь идёт: (1) не об одном сервере DNS, а о DNSystem; (2) а провайдер будет рулить не моим сервером (хотя бы и одним), а данными одной зоны (одного домена, не "руля" моими внутренними sub-доменами). |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 09 2002 10:20 Заголовок сообщения: Re: DNS в режиме "разделённого мозга" и технология NAT. |
|
|
Ну я не вижу никаких проблемм.
Пусть провайдер заведет но своем DNS зону, которой будет управлять. Это будет первичный DNS. А ты свои сервера настрой чтоб они забирали зону у провайдера. Т.е. твои сервера будут вторичными для этой зоны.
Вот теперь нет никаких проблемм.
Есть, правда, одно НО. Время обновления зоны. Сервер провайдера не сможет посылать твоим серверам notify-сообщения, т.к. твои сервера стоят за NAT.
Ну поставьте TTL у зоны на 4-5 часов. Хватит, наверно, если зону не очень часто обновлять. |
|
Вернуться к началу |
|
|
Pablo
Зарегистрирован: 08.10.2002 Сообщения: 8
|
Добавлено: Ср Окт 09 2002 10:55 Заголовок сообщения: Re: DNS в реж. "разделённого мозга" и NAT. |
|
|
1. NAT не является препятствием для обновления зоны по notify от сервера провайдера. (Стат. трансляция, и т.д.) 2. Своевременные (и соответственно оптимальные) обновления DNS информации - одна из основных причин (целей), требующая объединения внутренней DNS с DNS Интернет. 3. Вопрос на засыпку. Как ты себе представляешь работу распознавателя у клиента во внутренней сети, который работает в одной (едином DNS пространстве) DNS, и разрешает адреса как в внешней сети, так и во внутренней. ? *** Например, почтовый сервер стоит за NAT-ом. С "маршрутной" (адресной) точки зрения, для внешних хостов у него один адрес, а для внутренних другой. А имя то (DNS) - одно, потомучто DNS одна. А? (Я не понимаю.) |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 09 2002 12:21 Заголовок сообщения: Сам ты ничего не понимаешь (+) |
|
|
1. NAT как раз и является препятствием, если NAT делается у тебя в сети, а не в сети провайдера. Если NAT делается на своем сервере (роутере), то вся твоя сеть со стороны Интеа видна под одним IP-адресом. Кому notify посылать? Этому IP-адресу? А если там DNS-сервера нет, тогда чего?
2. Не представляю себе для чего это надо понадобится. Сдается мне вы что-то неправильное придумали. Все нормальные люди стремятся изолировать внутренние DNS-серверы от внешних. Допускается обращение внутренних к внешним, но не наоборот. Иначе потенциальный хакер может легко узнать много интересного о составе и структуре внутренней сети. Про атаки на внутренние DNS я вообще молчу. Это в большинстве случаев смерти подобно. Как для сети, так и для того, кто ей управляет.
3. Все элементарно. DNS-сервер настраивается таким образом, что все неизвестные ему запросы отправляются на сервер провайдера. В BIND-е это делается опцией forward {список серверов}; |
|
Вернуться к началу |
|
|
Pablo
Зарегистрирован: 08.10.2002 Сообщения: 8
|
Добавлено: Ср Окт 09 2002 13:08 Заголовок сообщения: Я многого не знаю и не понимаю, (+) |
|
|
, тем не менее: 1. NAT - не "глухой бетонный забор". Иначе, нельзя было бы внешнему хосту (например, smtp.myfrend.net) обратиться к хосту, стоящему за NAT-ом (например, mail.mydomain.ru). (аналогично, ftp. случай, и пр.) (Давайте не будем путать NAT с PAT-ом. И не будем ссорится. ) 2. Возможно, я что-то неправильное придумал. Но, я не стремлюсь всю внутреннюю NDS открывать всему миру, или давать кому-нибудь извне доступ к тем моим DNS серверам, которые поддерживают мои внутренние sub-домены. Наличие одного подчинённого (подолнительного) сервера для mydomain.ru у меня за NAT-ом не требует этого. (Потенциальный хакер узнает не многим более того, что он может узнать на основном сервере у проавйдера.) 3. Все неизвестные - да. А что делать с кэшем? TTL??? - не оптимальное решение - или длительные интервалы "неразрешимости", или неоправданно высокий трафик. 4. Спасибо за дискуссию. 5. ? (Вопрос открыт.) |
|
Вернуться к началу |
|
|
Dmitry.Karpov Гость
|
Добавлено: Ср Окт 09 2002 13:11 Заголовок сообщения: Ты хоть сам понимаешь, чего спрашиваешь? |
|
|
Как провайдер может управлять твоим DNS-сервером? Ты хочешь дать ему рутовые права на своей машине? Или ты умеешь делегировать полномочия по управлению отдельными службами?
Почитай доку по DNS на http://www.pi2.ru/prof - многое прояснится. Провайдер вообще дает IP-доступ, а делегирование зоны можно брать у кого угодно, но только на "реальный" IP-адрес, доступный извне.
А ставить самоприсвоенную DNS-зону на машине с самоприсвоенным IP-адресом (10.*.*.*, 172.[16..31].*.* или 192.168.*.*) для обслуживания внутренних IP-адресов - святое дело. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 09 2002 15:50 Заголовок сообщения: Еще немного теории (+) |
|
|
1. Имеем сервак в Инете (А). Имеем сеть, закрытую NAT. Имеем сервер в этой сети (Б).
А теперь расскажи нам, мил человек, каким образом сервер А сможет связаться с сервером Б, если NAT ничего, кроме транляции адресов не делает? Ты ведь не сказал, что у тебя управляемый и гибко настраиваемый NAT. Рассказывай. Ждем-с.
2. Вопрос о целесообразности предлагаю закрыть. Надо - значит надо.
3. Рекомендуется на NAT, а вернее на пограничном устройстве, делать перенаправление трафика от DNS-провайдера (и только от него) на твои внутренние DNS-сервера. Таким образом решается проблемма notify. Так же очень рекомендуется шифровать трафик при передачи зоны. Так, на всякий случай.
4. Вопросы обновления и управления зонами DNS вообще должны решаться со спецами провайдера. Я удивлен столь долгой и общирной дискуссией на эту тему. Тамошние спецы чего говорят? Молчат? |
|
Вернуться к началу |
|
|
Pablo
Зарегистрирован: 08.10.2002 Сообщения: 8
|
Добавлено: Ср Окт 09 2002 17:28 Заголовок сообщения: Перед тем как ... , обычно, запрягают. |
|
|
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Окт 10 2002 07:53 Заголовок сообщения: Ну вот поговорили (-) |
|
|
- |
|
Вернуться к началу |
|
|
|