目前的情況是:DDN接入我單位,并且分配有公網IP地址。
outside的網段是 202.99.100.0/24 |
一般的情況是在inside架設一臺DNS服務器,供Inside的用戶使用,而且這個一般是不能缺少的,因為有的服務并不是對外提供的,而是僅僅 Inside內的用戶使用,并且服務器放在Inside中,這里對Inside的DNS和主機的設置就不多說了。另外,在DMZ區架設一臺NDS服務器,用于對外解析abc.com.cn,如解析www.abc.com.cn到202.99.100.2,DNS服...都放在DMZ區,用
|
好了,現在問題出現了,那么DMZ區和inside的主機或者服務器,它們之間該是如何相互訪問域名呢?DMZ區的主機或者服務器,它們本身的DNS該指向哪里呢?如果指向DMZ區的那臺DNS(192.168.1.1),那么,它們在訪問www.abc.com.cn的時候得到的解析結果?.. ww.abc.com.cn
到192.168.1.2。不過如果這樣的話,首先將在DMZ區增加一臺服務器,遼僖?諞惶ǚ?衿魃顯黽覦NS服務;另外,如果每次DNS新增主機的時候,要在兩臺DNS上做添加、修改。其實,在PIX520 上的alias命令能解決這個問題,讓你的DMZ區只需要一臺DNS服務器。
alias (dmz) 192.168.1.2 202.99.100.2 255.255.255.255 |
但是,我多次的試驗就是不成功。我的最初的想象是,DMZ區的主機DNS指向就是DMZ區的DNS服務器,當解析回來的地址是202.99.100.2的時候,在防火墻上的alias (dmz)……命名會告訴那臺主機,它還有別名叫192.168.1.2,然后主機就會去訪問192.168.1.2,但是實際情況是DMZ區的主機無論如何都是無法Ping通www.abc.com.cn ,更別說瀏覽了。最終通過試驗發現,DMZ區的主機或者服務器,它們的DNS指向不能是本區的DNS服務器,而是公網上的(如數據局)一臺DNS服務器,這樣,它們訪問 www.abc.com.cn就沒有問題了。
原理是這樣的:DMZ區的一臺主機發出對www.abc.com.cn
的DNS 請求,公網上的那臺DNS服務器最終會把解析請求發給DMZ區的那臺DNS服務器(192.168.1.1),它解析的結果是202.99.100.2并把解析包告訴公網DNS服務器,公網的DNS服務器返回給DMZ區主機的dns reply包會被PIX上的alias (dmz)……命名所更改成192.168.1.2,從而使DMZ區的主機用域名的方式成功訪問本區內的服務器,而由外面向dmz的dns請求以及返回包不受影響。
ALIAS命令完整的格式解析:
alias (發出DNS請求的接口) 需要轉換成的IP地址 外部DNS server給出的響應地址 255.255.255.255
