Вопрос про DNS: как можно сделать вот такую вещь - есть DNS зона company.com, которая мной не контролируется. Мне нужно сконфигурировать МОЙ DNS сервер так, что бы он весь company.com резолвил как обычно, но на server1.company.com и server2.company.com каким нибудь образом отдавал те адреса, которые я хочу ему подставить сам...
Откуда такая нужда: есть VPN линк в company.com и хочется что-бы на server1.company.com я бы получал от своего DNS сервер-а не публичный адрес, а что-то типа 192.168.100.100...
Как это сделать в Cisco CNR я знаю - "dns exception", а вот как в Bind-e?
Вопрос про DNS
-
idle0
- Уже с Приветом
- Posts: 2846
- Joined: 28 Jun 2000 09:01
- Location: Milwaukee, WI
Вопрос про DNS
moria# show running-config
-
A. Fig Lee
- Уже с Приветом
- Posts: 12072
- Joined: 17 Nov 2002 03:41
- Location: английская колония
-
idle0
- Уже с Приветом
- Posts: 2846
- Joined: 28 Jun 2000 09:01
- Location: Milwaukee, WI
-
A. Fig Lee
- Уже с Приветом
- Posts: 12072
- Joined: 17 Nov 2002 03:41
- Location: английская колония
Не ето?
Let's say a company named Example, Inc. (example.com) has several corporate sites that have an internal network with reserved Internet Protocol (IP) space and an external demilitarized zone (DMZ), or "outside" section of a network, that is available to the public.
Example, Inc. wants its internal clients to be able to resolve external hostnames and to exchange mail with people on the outside. The company also wants its internal resolvers to have access to certain internal-only zones that are not available at all outside of the internal network.
In order to accomplish this, the company will set up two sets of nameservers. One set will be on the inside network (in the reserved IP space) and the other set will be on bastion hosts, which are "proxy" hosts that can talk to both sides of its network, in the DMZ.
The internal servers will be configured to forward all queries, except queries for site1.internal, site2.internal, site1.example.com, and site2.example.com, to the servers in the DMZ. These internal servers will have complete sets of information for site1.example.com, site2.example.com, site1.internal, and site2.internal.
http://ipsec.nu/dns/bind9/Bv9ARM.ch04.html
Тогда не знаю.. Наверное, ручками, или прокси на 53 порт.
Let's say a company named Example, Inc. (example.com) has several corporate sites that have an internal network with reserved Internet Protocol (IP) space and an external demilitarized zone (DMZ), or "outside" section of a network, that is available to the public.
Example, Inc. wants its internal clients to be able to resolve external hostnames and to exchange mail with people on the outside. The company also wants its internal resolvers to have access to certain internal-only zones that are not available at all outside of the internal network.
In order to accomplish this, the company will set up two sets of nameservers. One set will be on the inside network (in the reserved IP space) and the other set will be on bastion hosts, which are "proxy" hosts that can talk to both sides of its network, in the DMZ.
The internal servers will be configured to forward all queries, except queries for site1.internal, site2.internal, site1.example.com, and site2.example.com, to the servers in the DMZ. These internal servers will have complete sets of information for site1.example.com, site2.example.com, site1.internal, and site2.internal.
http://ipsec.nu/dns/bind9/Bv9ARM.ch04.html
Тогда не знаю.. Наверное, ручками, или прокси на 53 порт.
Верить нельзя никому - даже себе. Мне - можно!
-
idle0
- Уже с Приветом
- Posts: 2846
- Joined: 28 Jun 2000 09:01
- Location: Milwaukee, WI
-
uncle_Pasha
- Уже с Приветом
- Posts: 19924
- Joined: 30 Aug 2000 09:01
- Location: WA
idle0 wrote:Проблема решена, надо просто завести у себя 2 зоны, server1.company.com и server2.company.com, назначить свои ДНС сервер мастером, а v zone file прописать
. IN A 192.168.100.1
Надо запомнить, хороший вопрос для интервью
И так на каждый последующий хост...
Если трансфер зоны с "неподконтрольного" DNS запрещен, и 192.168.100 не отдельная сетка, для которой можно прописать обратную зону на "своем" DNS, то как сделать PTR? Без этого много чего работать не будет.
Если трансфер зоны разрешен, то куда проще вытянуть зоны (прямую и обратную с named-xfer, например), добавить/изменить необходимые записи (все это можно делать автоматически на регулярной основе) и использовать себе в своем DNS.
Удачи!
-
BrickTop
- Уже с Приветом
- Posts: 282
- Joined: 13 Dec 2003 04:49
- Location: Honduras->ON
idle0 wrote:Проблема решена, надо просто завести у себя 2 зоны, server1.company.com и server2.company.com, назначить свои ДНС сервер мастером, а v zone file прописать
. IN A 192.168.100.1
Надо запомнить, хороший вопрос для интервью
Обычный delegation. Я бы сделал немного иначе - subdomain в виде sub.company.com, и завел бы еще один сервер, на котором бы определял хосты: host1.sub.company.com и т.д.
-
idle0
- Уже с Приветом
- Posts: 2846
- Joined: 28 Jun 2000 09:01
- Location: Milwaukee, WI
uncle_Pasha wrote:idle0 wrote:Проблема решена, надо просто завести у себя 2 зоны, server1.company.com и server2.company.com, назначить свои ДНС сервер мастером, а v zone file прописать
. IN A 192.168.100.1
Надо запомнить, хороший вопрос для интервью
И так на каждый последующий хост...
Если трансфер зоны с "неподконтрольного" DNS запрещен, и 192.168.100 не отдельная сетка, для которой можно прописать обратную зону на "своем" DNS, то как сделать PTR? Без этого много чего работать не будет.
Если трансфер зоны разрешен, то куда проще вытянуть зоны (прямую и обратную с named-xfer, например), добавить/изменить необходимые записи (все это можно делать автоматически на регулярной основе) и использовать себе в своем DNS.
Удачи!
Зону для 192.168.100 я держу сам у себя, с этим проблем нет. Зону вытягивать не дают. Subzones (типа vpn.company.com и там делать server1.vpn.company.com) создавать нельзя, так как FQDN имя сервера должно оставатся неизменным.
А мне мое решение, когда создаешь у себя зоны, где zone name == host name очень понравилось. Оно дает возможность отправлять все остальные запросы по стандартному пути и не создавать subzones. В общем я очень горд собой
moria# show running-config
-
BrickTop
- Уже с Приветом
- Posts: 282
- Joined: 13 Dec 2003 04:49
- Location: Honduras->ON
idle0 wrote:uncle_Pasha wrote:idle0 wrote:Проблема решена, надо просто завести у себя 2 зоны, server1.company.com и server2.company.com, назначить свои ДНС сервер мастером, а v zone file прописать
. IN A 192.168.100.1
Надо запомнить, хороший вопрос для интервью
И так на каждый последующий хост...
Если трансфер зоны с "неподконтрольного" DNS запрещен, и 192.168.100 не отдельная сетка, для которой можно прописать обратную зону на "своем" DNS, то как сделать PTR? Без этого много чего работать не будет.
Если трансфер зоны разрешен, то куда проще вытянуть зоны (прямую и обратную с named-xfer, например), добавить/изменить необходимые записи (все это можно делать автоматически на регулярной основе) и использовать себе в своем DNS.
Удачи!
Зону для 192.168.100 я держу сам у себя, с этим проблем нет. Зону вытягивать не дают. Subzones (типа vpn.company.com и там делать server1.vpn.company.com) создавать нельзя, так как FQDN имя сервера должно оставатся неизменным.
А мне мое решение, когда создаешь у себя зоны, где zone name == host name очень понравилось. Оно дает возможность отправлять все остальные запросы по стандартному пути и не создавать subzones. В общем я очень горд собой
Это тоже subzone. В принципе parent должен знать IP address server1.company.com, иначе как он его найдет?
-
idle0
- Уже с Приветом
- Posts: 2846
- Joined: 28 Jun 2000 09:01
- Location: Milwaukee, WI
BrickTop wrote:Это тоже subzone. В принципе parent должен знать IP address server1.company.com, иначе как он его найдет?
Который parent? Я чего то не понимаю.
company.com - это чужая компания, со своим DNS-ом, куда нас не пускают.
А на своем сервере я завел зону server1.company.com, где мой сервер является мастером.
moria# show running-config