DNS strežnik / infrastruktura

Mogoce bi lahko se dopisal, zakaj to sploh delas, da ti bo kdo lazje svetoval. Ker ce ze dodajas DNS serverje, bi lahko dal enega, ki je dostopen eksterno, ostali pa ne, zaradi vecje varnosti.


by Miha

Blokriaj vse porte, ki jih ne potrebujes. Za DNS moras cez pustit 53 UDP in TCP (ter seveda reply-je s tvojega serverja na te zahtevke). Pol je to, ali so serverji v domeni ali ne verjetno bolj stvar konfiguracije, glede varnosti pa ne vem, ce je kaj razlike.

Rad bi ločil DNS od DCja. Na dodatnih 2h dnsjih bi bile vpisane zgolj internetne domene oz. resolvanje zunanjh domen. Dva pa zato, če en ISP pade.

Nekje sem enkrat bral da naj se ta dva sploh ne bi videla med sabo (recimo, da bi bila oba v istem subnetu lokalne mreže). Je kaj resnice na tem, v smislu večje varnosti?

Uf, to mi je jasno da DC brez DNS no go.
Tudi se ne gre za forwarding.

OK, da razložim laično:

imamo registriranih nekaj domen tipa nekej.si in šenekej.com. Za NS1 in NS2 imam sedaj vpisan DC1 in DC2, kjer so tudi zapisi teh domen.
Rad bi to razbil na način, da NS in DC ne bo več na istem strežniku, ampak DCja resolvata domeno nekej.local ostalo forward na siol ali arnes, NSja pa vsebujeta zapise za registrirane domene.
Glede na to, da sem se lotil to postavljat, me zgolj zanima (če že delam je fajn pač narest čimbolje) kako to postavit, da bo kar se da varno za moje omrežje. Vem, kdo bo rekel, če dosedaj nisi imel težav, ko imaš zadeve združene, potem pusti. Ampak, nikoli ne veš.

To, da jih ne dam v windows domeno, se mi zdi nekako logično, če slučajno pride do kake zbrke, serverja nimata glih pravic kej pofedlat. Ali sem preveč paranoičen?

LP

Točno tako.