www.SAMURAJ-cz.com 

17.12.2017 Daniel Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Jiná IP adresa z DNS interně a externě

Neděle, 15.06.2008 13:51 | Samuraj - Petr Bouška |
Občas může nastat situace (z řady různých důvodů), kdy potřebujeme, aby klienti dostali pro nějaké doménové jméno jinou IP adresu z DNS serveru, když jsou uvnitř firmy a jinou když jsou mimo firmu a jsou připojeni do internetu. Tento článek přináší jednoduchý tip, jak tuto situaci řešit na Microsoftím DNS serveru.

Co chceme nastavit

Abych přesněji specifikoval zadání. Máme nějakou službu, která je přístupná z internetu, teoreticky je jedno, zda je to námi poskytovaná služba nebo od někoho jiného. Tato služba má nějaké doménové jméno a k němu přiřazenou IP adresu na veřejném DNS serveru dané firmy (i kdyby to byla naše služba, tak počítám, že vždy je interní DNS server oddělen od externího - veřejného). Když chce klient odkudkoliv přistoupit k této službě, tak DNS dotaz doputuje na tento internetový DNS server a vrátí se mu jako odpověď IP adresa.

A my chceme zařídit to, aby v případě takového dotazu uvnitř naší firmy, kdy je dotaz směrován na naše interní DNS, přišla jiná odpověď. Tedy, aby náš DNS server přímo odpověděl a nepředával dotaz dále.

Proč to chceme nastavit

Z "praktických" příkladů uvedu dva (jejich praktičnost nechám na vás). V DMZ zóně máme umístěný firemní web server, na který často přistupují naši zaměstnanci. Na našem veřejném DNS serveru máme pro adresu www.firma.cz nějakou veřejnou publikovanou adresu, která se nachází na našem venkovním firewallu. A my chceme, aby naši zaměstnanci uvnitř firmy nepřistupovali jakoby zvenku, tedy přes venkovní FW, ale přímo na adresu do DMZ.

Druhý příklad se týká jednoduché bezpečnostní funkce. Ve firmě chceme zakázat používání nějaké veřejné služby, například nějaký instant messaging. Takže nastavíme DNS server, aby jeho jméno překládal na nějakou neexistující adresu (třeba 127.0.0.1). Samozřejmě se to dá obejít zadáním přímo IP adresy.

Jak to nastavíme

Když začneme přemýšlet, jak bychom mohli našeho zadání dosáhnout. Tak asi nejprve se podíváme na forward lookup zóny, které máme na interním DNS serveru. Zde asi tu veřejnou nenajdeme a do interní zóny se nedá zadat doménové jméno z jiné domény. DNS server si vytváří cache, kde si ukládá již přeložená jména pro rychlejší odpověď. Zde bychom mohli podstrčit naši IP adresu, ale to je jen dočasné řešení.

Správné řešení je, jak to tak bývá, velmi jednoduché, ale asi člověka hned nenapadne. Jde o to vytvořit na interním DNS serveru novou primární forward lookup zónu pro dané doménové jméno, tedy například www.firma.cz (ne pro celou doménu firma.cz) a pro ni nastavit A záznam na námi požadovanou IP adresu. Když se pak klient ptá na adresu, tak náš server vlastní tuto zónu, takže odpoví její adresou, ale ostatní adresy z dané domény nevlastní, takže dotaz přeposílá dál.

Nastavení na DNS

zobrazeno: 26814krát | Komentáře [13]

Autor:

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Unreal][

    Podobne nastaveni se da pouzit primo na PC v souboru HOSTS. Je to takove mini DNS kazdeho pocitace a lze i existujici servery presmerovat na uplne jinou stranku. ;-)

    Čtvrtek, 25.09.2008 17:01 | odpovědět
  2. [2] Samuraj

    odpověď na [1]Unreal][: Ano, ale těžko budu něco takového nastavovat pro 1000 PC, i když to mohu automatizovat, tak to není příliš systémové řešení.

    Čtvrtek, 25.09.2008 17:11 | odpovědět
  3. [3] Petr

    Dobrý den,

    jak se to ve vlastním PC provede?

    Pátek, 26.09.2008 10:20 | odpovědět
  4. [4] Samuraj

    odpověď na [3]Petr: Pro Windows - stačí editovat soubor c:WINDOWSsystem32driversetchosts, příklady jsou uvedeny v souboru. Při nslookup má tento soubor přednost před DNS serverem.

    Pátek, 26.09.2008 10:53 | odpovědět
  5. [5] Honza

    Také používám HOSTS, ale jen z nouze, protože Kerio (- umí s HOSTS zacházet jako s DNS) mi běží na XP a ty DNS nemají (původně W2000serv - tam byla DNS). Veřejné DNS jedou na jiném serveru a přes Kerio jsou propagovány ven a na secDNS k providerovi. Není to asi nejčistší řešení, ale běží to už několik let bez kolizí.

    Čtvrtek, 20.11.2008 22:23 | odpovědět
  6. [6] Jiri

    odpověď na [1]Unreal][: Ano, ale pokud třeba na notebboku nastavuji v mailovém klientu název mailového serveru, potřebuji vždy dostat příslušnou IP adresu v závislosti na tom, zda jsem připojen v lokální síti nebo zda jsem připojen přímo do Internetu např. pomocí domácího připojení k Intrnetu nebo pomocí např. 4G karty

    Pátek, 16.01.2009 13:38 | odpovědět
  7. [7] tata_tulen

    ad "ale ostatní adresy z dané domény nevlastní, takže dotaz přeposílá dál.")

    Hu, vazne to takhle funguje? :-O AFAIK kdyz na Win tu zonu vyrobim, tak je pro ni "autoritativni" a tudiz kdyz zaznam nemaj, nesnazi se ho resolvovat rekurzi/forwaderem dal...

    P.S. - overeno ted na nasem 2008 DC :)

    Čtvrtek, 11.03.2010 14:44 | odpovědět
  8. [8] Samuraj

    odpověď na [7]tata_tulen: Jenže já vyrábím zónu přímo pro tu adresu (vlastně pro ten Ačkový záznam) a ne pro celou doménu, takže tam žádné další záznamy neexistují, takže se správně přeposílají dále :-).

    Čtvrtek, 11.03.2010 14:55 | odpovědět
  9. [9] tata_tulen

    odpověď na [8]Samuraj: nojo, ale ja vidim zonu www.firma.cz - ze je v ni jen jeden zaznam je irelevantni... A nebo tomu nerozumim (nevim co je "zona jen pro jednu adresu" :-)

    Čtvrtek, 11.03.2010 14:57 | odpovědět
  10. [10] Samuraj

    odpověď na [9]tata_tulen: No přeci základní fungování DNS. Když vyrobím zónu firma.cz, tak v ní se hledají záznamy *.firma.cz. Tam se nachází i www.firma.cz. Pokud vyrobím zónu www.firma.cz, tak mi přeloží www.firma.cz a potom *.www.firma.cz. Ale domény 4-tého řádu nepoužívám, takže mi to nevadí. Kdežto všechny další záznamy *.firma.cz jsou pořád směrovány na tu první zónu.

    Čtvrtek, 11.03.2010 15:00 | odpovědět
  11. [11] tata_tulen

    odpověď na [10]Samuraj: Aha, uz mi to cvaklo, dneska si sedim na vedeni, sorry ;-)

    Čtvrtek, 11.03.2010 15:44 | odpovědět
  12. [12] BMunihb

    Zaměstnanci i přes zákaz používají Skype či ICQ. Šlo bz jim to zatrhnout tímto způsobem? Děkuji za radu.

    Úterý, 04.10.2011 12:51 | odpovědět
  13. [13] Dannys

    Ahoj všem,

    mám dotaz mám interní sit v doméně.Např:hobit.cz ale mám taky na externím hostingu web www.hobit.cz.Bohužel se mně pořád zobrazuje v interní sítí když zadám www.hobit.cz ISS.V interní DNS mám nastavené : Nastavil jsem Zona dopředného - Primární + uložit zony do adresáře AD ,na všechny servery v této doméně hobit.cz,a název zony jsem dal www.hobit.cz + povolit je dynamické zabezpečené aktualizace.Po vytvoření zony jsem zadal externí IP a A záznam a pořád mně zobrazuje ISS.Dík za pomoc

    Čtvrtek, 23.06.2016 08:56 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách