Forum » Omrežja in internet » DNS Conditional Forwarder - izjema
DNS Conditional Forwarder - izjema
tonis ::
Pozdravljeni,
na občinskem DNS strežniku imam nastavljeno, da se za domeno *.gov.si uporabi conditional forwarder, torej da hoste s to domeno resolva strežnik znotraj HKOM omrežja.
Težava pa je v tem, da določeni hosti ne delujejo, in bi dejansko morali biti resolvani čez primarni DNS (na kratko, za isti FQDN je čez conditional forwarder resolvan LAN ip, čez primarni DNS pa public IP)
Hitra rešitev je bila, da sem pri uporabniku v hosts file vpisal public IP in zadeva deluje.
Vprašanje pa je, kaj bi bila bolj primerna rešitev za take izjeme? Oz ali je sploh možno delat izjeme?
Hvala
na občinskem DNS strežniku imam nastavljeno, da se za domeno *.gov.si uporabi conditional forwarder, torej da hoste s to domeno resolva strežnik znotraj HKOM omrežja.
Težava pa je v tem, da določeni hosti ne delujejo, in bi dejansko morali biti resolvani čez primarni DNS (na kratko, za isti FQDN je čez conditional forwarder resolvan LAN ip, čez primarni DNS pa public IP)
Hitra rešitev je bila, da sem pri uporabniku v hosts file vpisal public IP in zadeva deluje.
Vprašanje pa je, kaj bi bila bolj primerna rešitev za take izjeme? Oz ali je sploh možno delat izjeme?
Hvala
HotBurek ::
Kater problem pa v osnovi rešuješ s forwardanjem?
Se pravi, zakaj public DNS ni vredu, in moraš uporabljati notranjega (HKOM omrežje)?
Npr. če narediš za *.gov.si forward na public NSje (ns1s, ns2s, ns3s). Zakaj to ne bi bilo ok?
Se pravi, zakaj public DNS ni vredu, in moraš uporabljati notranjega (HKOM omrežje)?
Npr. če narediš za *.gov.si forward na public NSje (ns1s, ns2s, ns3s). Zakaj to ne bi bilo ok?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
tonis ::
Situacija je sledeča. Delno smo šli ven iz HKOM-a - to ne pomeni da smo si zmanjšali varnost, dejansko imamo interno omrežje zdaj segmentirano in precej zaprto na firewallu.
Ker pa so določeni portali, ki delujejo zgolj znotraj HKOMa, sem to omrežje vseeno pripeljal notri, in naredil routo za HKOM subnete, ter na DNSju vnesel conditional forwarderje za gov.si sigov.si in še enega..
Težava pa je v tem, da določeni FQDNji potrebujejo dostop preko javnega IPja, meni pa jih forwarder resolva na interni HKOM IP in posledično mi ti portali ne delujejo.
Eden takih je https://ua.gov.si
Hvala za tole, bom malo raziskal - dejansko ne poznam te rešitve..
Ker pa so določeni portali, ki delujejo zgolj znotraj HKOMa, sem to omrežje vseeno pripeljal notri, in naredil routo za HKOM subnete, ter na DNSju vnesel conditional forwarderje za gov.si sigov.si in še enega..
Težava pa je v tem, da določeni FQDNji potrebujejo dostop preko javnega IPja, meni pa jih forwarder resolva na interni HKOM IP in posledično mi ti portali ne delujejo.
Eden takih je https://ua.gov.si
https://learn.microsoft.com/en-us/windo...
Hvala za tole, bom malo raziskal - dejansko ne poznam te rešitve..
Zgodovina sprememb…
- spremenilo: tonis ()
grimth ::
Na tvojem mestu bi zraven poganjal še en interni DNS ki bi javno resolvav izključno tiste FQDNje. Ko HKOM dns server ne bo mogel razvozlati bodo clienti avtomatično pridobili zahteve iz tega specifičnega dns strežnika.
tonis ::
Na tvojem mestu bi zraven poganjal še en interni DNS ki bi javno resolvav izključno tiste FQDNje. Ko HKOM dns server ne bo mogel razvozlati bodo clienti avtomatično pridobili zahteve iz tega specifičnega dns strežnika.
Žal ne gre tako.. HKOM DNS resolva in vrne private IPje 192... 172 ..., ampak prek teh IPjev portali ne delujejo. Pa imam rute vpisane tudi za te subnete.
Malce češka rešitev sicer.. naredil sem GPO, da vsem uporabnikom porine HOSTS file iz serverja, notri pa imam vpisane te izjeme, in jih imam linkane na public IPje..
rokp ::
Sicer se s tem se nikoli nisem igral, tako da je tole bolj strel v temo, ampak, a ne mores narediti tudi conditional forwardinga za npr. ua.gov.si, ki kaze na javni DNS? Je potem vazen vrstni red ali tisto, kar je bolj specificno, ce imas tudi gov.si med njimi?
Edit: Pa se en razmislek, ce rabis samo za spletne strani, mislim, da lahko pri njih uporabis tudi njihov proxy - ce slucajno preko njega ua.gov.si deluje OK, si morda s tem lahko kaj pomagas (ce je recimo promet iz obcinskih internih IPjev do njega blokiran, iz proxy streznika pa ne) - brskalnik si konfiguriras tako, da uporabi ta proxy samo za dolocene strani...
Edit: Pa se en razmislek, ce rabis samo za spletne strani, mislim, da lahko pri njih uporabis tudi njihov proxy - ce slucajno preko njega ua.gov.si deluje OK, si morda s tem lahko kaj pomagas (ce je recimo promet iz obcinskih internih IPjev do njega blokiran, iz proxy streznika pa ne) - brskalnik si konfiguriras tako, da uporabi ta proxy samo za dolocene strani...
Zgodovina sprememb…
- spremenil: rokp ()
l0wc4 ::
Sam sem poskušal podobno naredit, ampak je s tem toliko enega dela, da sem idejo, da bi šli ven iz HKOM opustil. Proxy je narejen za dostop iz interneta in portali, ki so v notranjem omrežju morajo imeti proxy izjemo. DNS za notranje omrežje resolva drugače. Morda bi edina zadeva bila uporaba iproxy strežnika iz vašega omrežja, ampak je to spet kompliciranje. Kaj pa pravi HKOM podpora?
HotBurek ::
Se prav, če prav razumem. Če si na public-u, dobiš za ua.gov.si A response 84.39.211.8, če pa si v HKOM omrežju in uporabljaš njihov interni DNS, pa dobiš npr. 192.168.0.1.
Server, ki hosta ua.gov.si, pa je dostopen tako na public-u, kot privat (znotraj HKOM).
Če je tako, potem je najboljša rešitev ta, da v kolikor je storitev dostopna tudi tistim, ki so izven HKOM omrežja (kot je naprimer ua.gov.si), se pravi je na public-u, da za tak primer sistemski administrator na gov.si DNS strežniku za ua.gov.si A record spremeni iz 192.168.0.1 na 84.39.211.8.
Se pravi, da vse "furajo" preko public-a. Ker, če je isti servis hkrati dostopen in privat in public... je pač isto, če gre vse na public.
Bodimo optimisti, ampak to se ne bo zgodilo.
(1)
Evo, opcija za probat. Narediš zone transfer za celoten gov.si, to postaviš na svoj DNS, ter na roke popraviš tiste, ki vračajo "napačne" IP-je. Ter seveda to dokumentriaš.
Slaba stvar je, da je tak sistem treba vzdrževat. Dobra pa, da ne potrebuješ na klientih nič delat.
(2)
Ker verjetno zone transfer ne bo delal, je naslednja opcija, da pogledaš v cache na tvojem DNS strežniku za domeno gov.si, koliko record-ov je notri. Če jih je malo, potem lahko postaviš kar svoj gov.si DNS, na roke vneseš record-e kater uporabljate, kasneje pa jih po potrebi dodajaš/spreminjaš.
Ta opcija bi šla, ob pogoju, da se ne uporabljate nek sistem, kjer je "miljon" recordov za razne cache-geo-loadbalance zgodbe.
Winbdowz DNS cache
https://serverfault.com/questions/20385...
Po defaultu tega ne vidiš, moraš v View vklopit "advanced option".
Server, ki hosta ua.gov.si, pa je dostopen tako na public-u, kot privat (znotraj HKOM).
Če je tako, potem je najboljša rešitev ta, da v kolikor je storitev dostopna tudi tistim, ki so izven HKOM omrežja (kot je naprimer ua.gov.si), se pravi je na public-u, da za tak primer sistemski administrator na gov.si DNS strežniku za ua.gov.si A record spremeni iz 192.168.0.1 na 84.39.211.8.
Se pravi, da vse "furajo" preko public-a. Ker, če je isti servis hkrati dostopen in privat in public... je pač isto, če gre vse na public.
Bodimo optimisti, ampak to se ne bo zgodilo.
(1)
Evo, opcija za probat. Narediš zone transfer za celoten gov.si, to postaviš na svoj DNS, ter na roke popraviš tiste, ki vračajo "napačne" IP-je. Ter seveda to dokumentriaš.
Slaba stvar je, da je tak sistem treba vzdrževat. Dobra pa, da ne potrebuješ na klientih nič delat.
(2)
Ker verjetno zone transfer ne bo delal, je naslednja opcija, da pogledaš v cache na tvojem DNS strežniku za domeno gov.si, koliko record-ov je notri. Če jih je malo, potem lahko postaviš kar svoj gov.si DNS, na roke vneseš record-e kater uporabljate, kasneje pa jih po potrebi dodajaš/spreminjaš.
Ta opcija bi šla, ob pogoju, da se ne uporabljate nek sistem, kjer je "miljon" recordov za razne cache-geo-loadbalance zgodbe.
Winbdowz DNS cache
https://serverfault.com/questions/20385...
Po defaultu tega ne vidiš, moraš v View vklopit "advanced option".
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
Zgodovina sprememb…
- spremenilo: HotBurek ()
grimth ::
Na tvojem mestu bi zraven poganjal še en interni DNS ki bi javno resolvav izključno tiste FQDNje. Ko HKOM dns server ne bo mogel razvozlati bodo clienti avtomatično pridobili zahteve iz tega specifičnega dns strežnika.
Žal ne gre tako.. HKOM DNS resolva in vrne private IPje 192... 172 ..., ampak prek teh IPjev portali ne delujejo. Pa imam rute vpisane tudi za te subnete.
Malce češka rešitev sicer.. naredil sem GPO, da vsem uporabnikom porine HOSTS file iz serverja, notri pa imam vpisane te izjeme, in jih imam linkane na public IPje..
Ok. Mislim da te razumem, zakaj pa ne laufaš svojega internega cache dns strežnika ? Potem je zadeva simple ker lahko direktno navedeš cono za tiste specifične FQDNje in kateri upstream strežnik naj razvozlja zahtevo.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Hibridno omrežje - OBČINAOddelek: Omrežja in internet | 660 (330) | ToniT |
| » | Čudno obnašanje wifi-jaOddelek: Omrežja in internet | 831 (326) | BlaY0 |
| » | Popolna opoved DNS-aOddelek: Omrežja in internet | 1853 (1007) | c3p0 |
| » | Blokiranje IPjev državnih organovOddelek: Omrežja in internet | 3550 (2447) | #000000 |
| ⊘ | NLB KlikOddelek: Pomoč in nasveti | 9009 (7882) | Gandalfar |