Я недавно настроил сервер PowerDNS + PowerAdmin в моей домашней сети. Я настроил это как комбинацию авторитетный + рекурсивный DNS-сервер, чтобы мне было проще. Я установил 8.8.8.8 в качестве рекурсора.

Я подтвердил, что я могу сделать: "копать google.com @(ip сервера DNS)", и это прекрасно работает.

Моя цель в основном состоит в том, чтобы иметь возможность использовать DNS в моей домашней сети для различных VMS, которые я использую. Давайте использовать вики-серверы для этого примера.

Первоначально я собирался делать что-то вроде: wiki01.catpants.lan для имен, но мне сказали, что это плохая идея. (используя фальшивое tld) Так что теперь я просто куплю домен и буду делать что-то вроде wiki.catpants.com (или что я решу использовать).

Итак, у меня есть несколько вопросов.

  1. Считается ли правильным использовать 8.8.8.8 для рекурсора? Я знаю, что DNS-серверы Google обычно используются, но мне было интересно, может быть, есть более подходящий выбор.

  2. Я хочу сразу сказать, является ли сервер "только внутренним" или доступен также и снаружи. Я подумывал об использовании другого субдомена, так что это будет что-то вроде wiki01.lan.catpants.com для вики "только для внутреннего использования" и wiki02.catpants.com для вики, доступной извне. Это бы сработало, но я думаю, что это немного уродливо и требует дополнительной печати. Или я должен купить и использовать доменное имя только для внутреннего использования? Мне кажется, что это пустая трата времени, так как у меня есть внешние службы, которые я все равно хочу запустить. Видите ли, использование .lan определенно имеет некоторые преимущества в моей голове. Преимущества в том, что он бесплатный и легко определить, является ли сервер только внутренним или доступным извне.

  3. (Основной вопрос) Я пытался протестировать создание нескольких внутренних записей DNS с доменом, который у меня уже есть. Назовите это foo.com. В настоящее время я использую he.net для серверов имен для foo.com. Когда я пытаюсь создать мастер-зону для foo.com с помощью poweradmin, он создает для нее запись SOA, но по умолчанию: 8.8.8.8 2016081300 28800 7200 604800 86400 IIRC, При настройке Poweradmin в первый раз он спрашивает меня вопрос о каких-то настройках по умолчанию (возможно, связанных с SOA). Не зная, что там происходит, я просто поставил 8.8.8.8, думая, что он спрашивает о рекурсоре. Конечно, похоже, что сейчас нет возможности редактировать этот параметр, поэтому не уверен, что это было. Как должна выглядеть запись SOA?

  4. Должен ли я использовать DNSSEC? Я могу исследовать это самостоятельно, если это считается "лучшей практикой".

  5. Возможно ли получить "утечку"? то есть, я думаю, что с точки зрения безопасности было бы хорошо, если бы пакеты с моими внутренними записями DNS никогда не маршрутизировались в Интернете. Если кто-то захватывает весь исходящий трафик из моей сети, строка "wiki01.lan.catpants.com" никогда не должна появляться в этом трафике. Может ли это произойти с этой настройкой?

Спасибо!!

1 ответ1

1

Пожалуйста, настройте отдельные службы DNS для внутренних и внешних клиентов. Это можно сделать с помощью разделенного DNS или разных серверов. Я использую оба варианта.

  1. Если вы делаете рекурсивные запросы, вы должны начать с корневых серверов. Они должны быть заполнены из файла подсказок. Не предоставляйте эту услугу хостам, подключающимся из Интернета. Если вы это сделаете, вы обнаружите, что пропускная способность вашей сети используется для создания атак усиления.
  2. Существует несколько механизмов разделения внешних и внутренних записей. Использование поддоменов одно. Настройте эти адреса так, чтобы они не попадали в Интернет. Покупка отдельного домена для внутреннего использования является излишним.
  3. Ваш внутренний адрес не должен быть указан на серверах домена he.net. Адреса не должны быть действительными в Интернете и не должны обслуживаться DNS-сервером, подключенным к Интернету. Создайте свою внутреннюю зону для этих адресов.
  4. В какой-то момент вы должны использовать DNSSEC. Оставь это на потом.
  5. Используйте частный IP-адрес из диапазона 10.0.0./8, 172.16.0.0/12 и 192.168.0.0/16, и трафик не будет направляться в Интернет. В любом случае, если ваш DNS-сервер и клиенты находятся в одной локальной сети, трафик не будет направляться между серверами через Интернет.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .