У нас есть набор внутренних сервисов, используемых нашими бизнес-приложениями.

Некоторые из них определены IP. Мы думаем о замене их всех служебными поддоменами, вместо этого указывая на частный IP.

Пример:

  • data.corp.com
  • reporting.corp.com

Мы могли бы добавить это к нашему маршрутизатору и просто сделать их частными, но из-за VPN и офисов по всему миру этого было бы недостаточно.

Поэтому мы думаем о создании поддоменов для реального домена и привязке их к локальным IP-адресам.

Это против рекомендаций? Это как бы раскрывает нашу внутреннюю структуру и частные IP-адреса для всех наших служб, и если кто-то получит доступ к сети, он знает, где искать.

Кроме этого я не вижу опасности.

1 ответ1

0

Что вам действительно нужно сделать, так это настроить отдельные зоны DNS для внутреннего и внешнего потребления, где внешнее представление является подмножеством внутреннего представления и содержит только имена, которые относятся к записям A в общедоступном IP-адресном пространстве, доступном из общедоступного Интернета ( брандмауэр), а внутреннее представление имеет все и доступно всем бизнес-пользователям, которые находятся во внутренней сети, включая тех, кто использует VPN, чтобы "проникнуть внутрь". Это очень часто и может быть сделано с "представлениями" на одном DNS-сервере, или у вас может быть два разных набора DNS-серверов, все зависит от того, что вы используете для службы DNS.

Google - твой друг, ищи "разделить DNS и BIND".Много примеров / как там.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .