Почему руководства по настройке DNS используют частные IP-адреса в своих примерах?

Я пытаюсь настроить BIND9 на своем сервере и пытаюсь следовать руководству, которое нашел в Интернете. Одна вещь, которая выделяет для меня флаг предупреждения, заключается в том, что каждое руководство, которое я нашел, использует частные IP-адреса в своих примерах. Однако всякий раз, когда я использую стороннюю службу DNS, такую ​​как CloudFlare, я всегда добавляю публичные IP-адреса вместо 192.168.* введите адрес.

Теперь я понимаю, что это связано с тем, что сторонние службы DNS не имеют доступа к моему веб-серверу через частный IP-адрес (разумеется), поэтому общедоступный IP-адрес является единственным способом доступа к моему серверу, но, похоже, немного Странно, что DNS-сервер возвращает частный IP-адрес для запроса. Разве пользователь не будет пытаться подключиться к этому частному IP в своей сети?

Т.Л., др? Короче:

Настроить BIND9, руководства онлайн использовать частные IP-адреса. Будет ли это dig выходной разрешить?

julian@server:~$ dig @123.456.789.101 www.example.org

; <<>> DiG 9.8.1-P1 <<>> @123.456.789.101 www.example.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58151
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.example.org.           IN      A

;; ANSWER SECTION:
www.example.org.    10800   IN      CNAME   example.org.
example.org.        10800   IN      A       192.168.182.55

;; AUTHORITY SECTION:
example.org.        10800   IN      NS      ns1.example.org.
example.org.        10800   IN      NS      ns2.example.org.

;; ADDITIONAL SECTION:
ns1.example.org.    10800   IN      A       192.168.182.55
ns2.example.org.    10800   IN      A       192.168.182.55

;; Query time: 2 msec
;; SERVER: 123.456.789.101#53(123.456.789.101)
;; WHEN: Sat Mar 16 18:07:02 2013
;; MSG SIZE  rcvd: 135

1 ответ

Решение

Файлы, которые вы предоставляете BIND, сообщают BIND, что возвращать для запросов (авторитетных) или куда обращаться для их разрешения (не авторизованных). Он вернет любой адрес, который вы ему дадите.

Да, в вашей локальной сети может работать BIND, разрешающий имена для вашей локальной сети, состоящие из частных IP-адресов. Эта BIND не обязательно должна быть доступна для Интернета в целом, чтобы эта функция работала.

Да, если экземпляр BIND доступен через ваш маршрутизатор NAT, он вернет эти IP-адреса, если сервер запрашивается. BIND, предназначенный только для частного использования и общедоступный, может привести к утечке информации о вашей сети.

В примерах книг, как правило, используются частные диапазоны IP-адресов, чтобы люди не могли слепо копировать примеры и вызывать неоправданный трафик невинных третьих сторон. Кроме того, использование DNS-сервера в локальной сети, использующей диапазоны IP-адресов в частном диапазоне, также не редкость.

Сервер DNS в вашей домашней сети не будет доступен никому, кроме следующих случаев:

  • Ваш статический общедоступный IP-адрес зарегистрирован на DNS-сервере глобальной корневой зоны, который идентифицирует этот общедоступный IP-адрес как доверенную зону для данного домена. Указание частного IP не может быть использовано здесь.

  • Вы убеждаете кого-то использовать ваш общедоступный DNS-сервер (который будет проблематичным, но не невозможным, если ваш провайдер предоставит вам динамический IP). Чтобы разрешить IP-адреса для любого домена, отличного от вашего, вам нужно настроить BIND на использование глобального DNS-сервера в качестве сервера пересылки (в основном, пересылать все локально неразрешимые запросы DNS на другой сервер, такой как OpenDNS). Они также получат ваши частные IP-адреса, которые не будут работать в их локальной сети, если это не совпадение. Это глупая идея (если вы действительно не хотите присоединиться к двум локальным сетям через VPN или что-то эзотерическое) и обычно не то, что вы хотите сделать.

Приведенный выше файл будет работать, но, скорее всего, он не будет вам полезен, если вы действительно не хотите, чтобы программы могли искать через DNS ns1.example.org и получить IP-адрес 192.168.182.55 и так далее.

Другие вопросы по тегам