Co chceme nastavit
Abych přesněji specifikoval zadání. Máme nějakou službu, která je přístupná z internetu, teoreticky je jedno, zda je to námi poskytovaná služba nebo od někoho jiného. Tato služba má nějaké doménové jméno a k němu přiřazenou IP adresu na veřejném DNS serveru dané firmy (i kdyby to byla naše služba, tak počítám, že vždy je interní DNS server oddělen od externího - veřejného). Když chce klient odkudkoliv přistoupit k této službě, tak DNS dotaz doputuje na tento internetový DNS server a vrátí se mu jako odpověď IP adresa.
A my chceme zařídit to, aby v případě takového dotazu uvnitř naší firmy, kdy je dotaz směrován na naše interní DNS, přišla jiná odpověď. Tedy, aby náš DNS server přímo odpověděl a nepředával dotaz dále.
Proč to chceme nastavit
Z "praktických" příkladů uvedu dva (jejich praktičnost nechám na vás). V DMZ zóně máme umístěný firemní web server, na který často přistupují naši zaměstnanci. Na našem veřejném DNS serveru máme pro adresu www.firma.cz nějakou veřejnou publikovanou adresu, která se nachází na našem venkovním firewallu. A my chceme, aby naši zaměstnanci uvnitř firmy nepřistupovali jakoby zvenku, tedy přes venkovní FW, ale přímo na adresu do DMZ.
Druhý příklad se týká jednoduché bezpečnostní funkce. Ve firmě chceme zakázat používání nějaké veřejné služby, například nějaký instant messaging. Takže nastavíme DNS server, aby jeho jméno překládal na nějakou neexistující adresu (třeba 127.0.0.1). Samozřejmě se to dá obejít zadáním přímo IP adresy.
Jak to nastavíme
Když začneme přemýšlet, jak bychom mohli našeho zadání dosáhnout. Tak asi nejprve se podíváme na forward lookup zóny, které máme na interním DNS serveru. Zde asi tu veřejnou nenajdeme a do interní zóny se nedá zadat doménové jméno z jiné domény. DNS server si vytváří cache, kde si ukládá již přeložená jména pro rychlejší odpověď. Zde bychom mohli podstrčit naši IP adresu, ale to je jen dočasné řešení.
Správné řešení je, jak to tak bývá, velmi jednoduché, ale asi člověka hned nenapadne. Jde o to vytvořit na interním DNS serveru novou primární forward lookup zónu pro dané doménové jméno, tedy například www.firma.cz (ne pro celou doménu firma.cz) a pro ni nastavit A záznam na námi požadovanou IP adresu. Když se pak klient ptá na adresu, tak náš server vlastní tuto zónu, takže odpoví její adresou, ale ostatní adresy z dané domény nevlastní, takže dotaz přeposílá dál.
Komentáře
Podobne nastaveni se da pouzit primo na PC v souboru HOSTS. Je to takove mini DNS kazdeho pocitace a lze i existujici servery presmerovat na uplne jinou stranku.
odpověď na [1]Unreal][: Ano, ale těžko budu něco takového nastavovat pro 1000 PC, i když to mohu automatizovat, tak to není příliš systémové řešení.
Dobrý den,
jak se to ve vlastním PC provede?
odpověď na [3]Petr: Pro Windows - stačí editovat soubor c:WINDOWSsystem32driversetchosts, příklady jsou uvedeny v souboru. Při nslookup má tento soubor přednost před DNS serverem.
Také používám HOSTS, ale jen z nouze, protože Kerio (- umí s HOSTS zacházet jako s DNS) mi běží na XP a ty DNS nemají (původně W2000serv - tam byla DNS). Veřejné DNS jedou na jiném serveru a přes Kerio jsou propagovány ven a na secDNS k providerovi. Není to asi nejčistší řešení, ale běží to už několik let bez kolizí.
odpověď na [1]Unreal][: Ano, ale pokud třeba na notebboku nastavuji v mailovém klientu název mailového serveru, potřebuji vždy dostat příslušnou IP adresu v závislosti na tom, zda jsem připojen v lokální síti nebo zda jsem připojen přímo do Internetu např. pomocí domácího připojení k Intrnetu nebo pomocí např. 4G karty
ad "ale ostatní adresy z dané domény nevlastní, takže dotaz přeposílá dál.")
Hu, vazne to takhle funguje?
AFAIK kdyz na Win tu zonu vyrobim, tak je pro ni "autoritativni" a tudiz kdyz zaznam nemaj, nesnazi se ho resolvovat rekurzi/forwaderem dal...
P.S. - overeno ted na nasem 2008 DC :)
odpověď na [7]tata_tulen: Jenže já vyrábím zónu přímo pro tu adresu (vlastně pro ten Ačkový záznam) a ne pro celou doménu, takže tam žádné další záznamy neexistují, takže se správně přeposílají dále
.
odpověď na [8]Samuraj: nojo, ale ja vidim zonu www.firma.cz - ze je v ni jen jeden zaznam je irelevantni... A nebo tomu nerozumim (nevim co je "zona jen pro jednu adresu"
odpověď na [9]tata_tulen: No přeci základní fungování DNS. Když vyrobím zónu firma.cz, tak v ní se hledají záznamy *.firma.cz. Tam se nachází i www.firma.cz. Pokud vyrobím zónu www.firma.cz, tak mi přeloží www.firma.cz a potom *.www.firma.cz. Ale domény 4-tého řádu nepoužívám, takže mi to nevadí. Kdežto všechny další záznamy *.firma.cz jsou pořád směrovány na tu první zónu.
odpověď na [10]Samuraj: Aha, uz mi to cvaklo, dneska si sedim na vedeni, sorry
Zaměstnanci i přes zákaz používají Skype či ICQ. Šlo bz jim to zatrhnout tímto způsobem? Děkuji za radu.
Ahoj všem,
mám dotaz mám interní sit v doméně.Např:hobit.cz ale mám taky na externím hostingu web www.hobit.cz.Bohužel se mně pořád zobrazuje v interní sítí když zadám www.hobit.cz ISS.V interní DNS mám nastavené : Nastavil jsem Zona dopředného - Primární + uložit zony do adresáře AD ,na všechny servery v této doméně hobit.cz,a název zony jsem dal www.hobit.cz + povolit je dynamické zabezpečené aktualizace.Po vytvoření zony jsem zadal externí IP a A záznam a pořád mně zobrazuje ISS.Dík za pomoc