Články
Jiná IP adresa z DNS interně a externě
Co chceme nastavit
Abych přesněji specifikoval zadání. Máme nějakou službu, která je přístupná z internetu, teoreticky je jedno, zda je to námi poskytovaná služba nebo od někoho jiného. Tato služba má nějaké doménové jméno a k němu přiřazenou IP adresu na veřejném DNS serveru dané firmy (i kdyby to byla naše služba, tak počítám, že vždy je interní DNS server oddělen od externího - veřejného). Když chce klient odkudkoliv přistoupit k této službě, tak DNS dotaz doputuje na tento internetový DNS server a vrátí se mu jako odpověď IP adresa.
A my chceme zařídit to, aby v případě takového dotazu uvnitř naší firmy, kdy je dotaz směrován na naše interní DNS, přišla jiná odpověď. Tedy, aby náš DNS server přímo odpověděl a nepředával dotaz dále.
Proč to chceme nastavit
Z "praktických" příkladů uvedu dva (jejich praktičnost nechám na vás). V DMZ zóně máme umístěný firemní web server, na který často přistupují naši zaměstnanci. Na našem veřejném DNS serveru máme pro adresu www.firma.cz nějakou veřejnou publikovanou adresu, která se nachází na našem venkovním firewallu. A my chceme, aby naši zaměstnanci uvnitř firmy nepřistupovali jakoby zvenku, tedy přes venkovní FW, ale přímo na adresu do DMZ.
Druhý příklad se týká jednoduché bezpečnostní funkce. Ve firmě chceme zakázat používání nějaké veřejné služby, například nějaký instant messaging. Takže nastavíme DNS server, aby jeho jméno překládal na nějakou neexistující adresu (třeba 127.0.0.1). Samozřejmě se to dá obejít zadáním přímo IP adresy.
Jak to nastavíme
Když začneme přemýšlet, jak bychom mohli našeho zadání dosáhnout. Tak asi nejprve se podíváme na forward lookup zóny, které máme na interním DNS serveru. Zde asi tu veřejnou nenajdeme a do interní zóny se nedá zadat doménové jméno z jiné domény. DNS server si vytváří cache, kde si ukládá již přeložená jména pro rychlejší odpověď. Zde bychom mohli podstrčit naši IP adresu, ale to je jen dočasné řešení.
Správné řešení je, jak to tak bývá, velmi jednoduché, ale asi člověka hned nenapadne. Jde o to vytvořit na interním DNS serveru novou primární forward lookup zónu pro dané doménové jméno, tedy například www.firma.cz (ne pro celou doménu firma.cz) a pro ni nastavit A záznam na námi požadovanou IP adresu. Když se pak klient ptá na adresu, tak náš server vlastní tuto zónu, takže odpoví její adresou, ale ostatní adresy z dané domény nevlastní, takže dotaz přeposílá dál.
linkuj.cz | zalinkuj.cz | jagg.cz | vybrali.sme.sk | del.icio.us.
Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.
Komentáře
Podobne nastaveni se da pouzit primo na PC v souboru HOSTS. Je to takove mini DNS kazdeho pocitace a lze i existujici servery presmerovat na uplne jinou stranku.
odpověď na [1]Unreal][: Ano, ale těžko budu něco takového nastavovat pro 1000 PC, i když to mohu automatizovat, tak to není příliš systémové řešení.
Dobrý den,
jak se to ve vlastním PC provede?
odpověď na [3]Petr: Pro Windows - stačí editovat soubor c:WINDOWSsystem32driversetchosts, příklady jsou uvedeny v souboru. Při nslookup má tento soubor přednost před DNS serverem.