Внутренний DNS и DNS-прокси?

Обсуждение технических вопросов по продуктам Novell

Я тут хотел все таки уточнить практическое применение

Сообщение Boris Morozov » 22 сен 2004, 19:52

таких хитростей. Я как практик спрашиваю. Ведь насколько я понимаю, речь идет о небольшом числе хостов, которые должны иметь разные адреса. Тогда почему бы не использовать для них короткие имена.
Тем более, что разные DNS сервера спасают положение частично, поскольку тогда при переходе из внутреннего во внешний и наоборот, должен меняться адрес DNS сервера. Сразу вопрос как? DHCP?
Насколько я понял речь идет о пользователях с нотбуками, которые бегают туда-сюда. Я бы лично решил это короткими именами, со сменой имени домена через DHCP.
Если машины не бегают, тогда почему нельзя сделать просто внутренний поддомен для машин внутри сети.

А если речь идет о навороченном DNS, который по разному отвечает на разные интерфейсы, то значит он должен быть на машине к которой подключены эти интерфейсы. Или это должна быть какая-то система правил и скриптов, по которым должен отвечать этот DNS в зависимости от чего: IP? имени клиентской машины? имени пользователя?
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Re: Я тут хотел все таки уточнить практическое применение

Сообщение Alex-M » 23 сен 2004, 14:14

Boris Morozov писал(а):таких хитростей. Я как практик спрашиваю. Ведь насколько я понимаю, речь идет о небольшом числе хостов, которые должны иметь разные адреса. Тогда почему бы не использовать для них короткие имена.
Тем более, что разные DNS сервера спасают положение частично, поскольку тогда при переходе из внутреннего во внешний и наоборот, должен меняться адрес DNS сервера. Сразу вопрос как? DHCP?
Насколько я понял речь идет о пользователях с нотбуками, которые бегают туда-сюда. Я бы лично решил это короткими именами, со сменой имени домена через DHCP.
Если машины не бегают, тогда почему нельзя сделать просто внутренний поддомен для машин внутри сети.

А если речь идет о навороченном DNS, который по разному отвечает на разные интерфейсы, то значит он должен быть на машине к которой подключены эти интерфейсы. Или это должна быть какая-то система правил и скриптов, по которым должен отвечать этот DNS в зависимости от чего: IP? имени клиентской машины? имени пользователя?


У-у-у, как всё запущено... :D Придётся разжёвывать. Вы вообще представляете, как строится защита корпоративных сетей? Не физически - там всё более менее ясно, а логически?
Тогда задачка - дано: компания ABC, имеющая массу внутренних серверов, которые надо выставлять наружу. Но есть также другая масса ;-) серверов, которые дложны быть видны только внутри.
Наличие корпоративного стандарта на имена/домен - соответственно домен должен быть один и тот же снаружи и внутри периметра (т.е., сервер www должен быть виден как www.abc.com и снаружи и изнутри). Периметр реализован на МЭ + прокси (раз уж мы тут - BorderManager :-) ).
Изнутри должен работать резолвинг только внутренних адресов + контролируемый форвард запросов наружу (для прямого резолвинга внешних имён Инета для специальных задач, напр. - Lotus Domino как SMTP сервер).

Посему, по пунктам:

1)
речь идет о небольшом числе хостов, которые должны иметь разные адреса. Тогда почему бы не использовать для них короткие имена.

Неверно. Во-первых, число может быть и большим (несколько десятков/сотен). Пример - name-based virtual servers. Во-вторых, как Вы себе представляете разрешение короткого имени в глобальной структуре Инета? Ещё раз повторяю - в глобальном масштабе работоспособен (и стандартизован) только метод разрешения через FQDN.

2)
разные DNS сервера спасают положение частично, поскольку тогда при переходе из внутреннего во внешний и наоборот, должен меняться адрес DNS сервера.

Обратно неверно. :-) Никакого перехода нет, поскольку внутренние пользователь пользуют только внутренние DNS-сервера, а внешние - только внешние. Прокси пользует оба... :-)

3)
Насколько я понял речь идет о пользователях с нотбуками, которые бегают туда-сюда. Я бы лично решил это короткими именами, со сменой имени домена через DHCP. Если машины не бегают, тогда почему нельзя сделать просто внутренний поддомен для машин внутри сети.

Нет, никаких буков и никто никуда не бегает. Просто есть сеть, разделённая периметром на trusted и untrusted. Есть сервера, которые должны быть видны снаружи и изнутри по одним именем. Натурально, имеем 2 зоны с одним именем - одна обслуживает trusted-сеть (и в ней вся информация о компании), другая обслуживает untrusted-сеть (а вот в ней - информация только о серверах, видимых снаружи). Соответственно - либо DNS-сервер работает на МЭ (и может обслуживать на разных интерфейсах разные файлы зон). Но Нетварь это не умеет. Либо - два DNS-сервера (внутренний и наружный) + форвардинг изнутри наружу (DNS-proxy).
Это может быть реализовано в "псевдо"-"сплит" режиме (как описано у Крейга), но мы сразу имеем массу ограничений на ту зону, которая обслуживается файлом hosts - невозможность использования записей, отличных от "A" (NS, MX, CNAME и т.п.) + неработоспособность реверс-резолва (особенно, при наличии алиасов). Для компании это неприемлемо.

Надеюсь, теперь прояснение наступило... :D
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Теперь понятно, что у вас за ситуация,

Сообщение Boris Morozov » 23 сен 2004, 16:44

если от корпоративного стандарта именования отступать нельзя, то есть сделать внутренние сервера и внутренние интерфейсы внешних отдельным поддоменом типа www.lan.abc.com, а к внешним нельзя достучаться изнутри через внешний IP, тогда видимо действительно без DNS на Linux или на сервере в отдельном дереве будет трудновато.
Вам конечно виднее, я с такими глобальными сетями не работал.
Мне в аналогичной ситуации хватило разрешения на доступ изнутри к внешнему интерфейсу.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Сообщение Alex-M » 23 сен 2004, 17:55

А дело даже не в обязательности корпоративного стандарта. Всё гораздо проще.
Представьте - есть система Веб-серверов, увязанная в единое целое гиперссылками типа www.abc.com; ln.abc.com и т.д. Масса страничек, каталогов, скриптов, редиректов - ну, короче портал.
И как всё это будет работать, если обращаясь изнутри, я должен писать www.intranet.abc.com, а снаружи - www.abc.com? Как будут работать гиперссылки и редиректы - они же по имени ресурса, а не по IP? Делать алиасы для каждого ресурса? "Фи, это же не наш метод!..." :D

Кроме того, Вы не совсем поняли ситуацию с периметром, как границей сети.
...а к внешним нельзя достучаться изнутри через внешний IP...
Внешний IP чего? Внешних серверов нет в принципе (как реальных машин).
Есть только внутренние сервера/ресурсы с соответствующими именами. Они во внутренней сети, вместе с внутренним ДНСом.
Есть периметр на базе МЭ+прокси, разделяющий внутренюю сеть и внешнюю. Их несколько, в кластере - но не суть важно...
А во внешней сети ничего, кроме роутера, внешнего ДНСа и внешнего интерфейса МЭ/прокси нету - далее только Инет. Все "внешние" сервера (в моей терминологии - наверно правильнее было бы их назвать "ресурсами") суть сервисы/акселераторы прокси, работающие на внешнем интерфейсе/адресе(адресах) и мапирующие внутренние сервера наружу, для доступа к ним из Инета. Вот и всё! :-)

И Линух я только в качестве примера привёл. Мне лично он не по душе - Солярка или Бзд гораздо интереснее... ;-)
[/quote]
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Пред.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

cron