Dlaczego przewodniki konfiguracji DNS używają prywatnych adresów IP w swoich przykładach?

1

Próbuję skonfigurować BIND9 na moim serwerze i staram się postępować zgodnie z przewodnikiem, który znalazłem w Internecie. Jedną z rzeczy, która wywołuje dla mnie flagę ostrzegawczą, jest to, że każdy przewodnik, który znalazłem, używa prywatnych adresów IP w swoich przykładach. Jednak za każdym razem, gdy korzystam z usługi DNS innej firmy, takiej jak CloudFlare, zawsze umieszczam publiczne adresy IP zamiast 192.168.*adresu typu.

Rozumiem teraz, że dzieje się tak, ponieważ zewnętrzne usługi DNS nie mają dostępu do mojego serwera internetowego za pośrednictwem prywatnego adresu IP (oczywiście), więc publiczny adres IP jest jedynym sposobem na uzyskanie dostępu do mojego serwera, ale wydaje się trochę dziwne, że serwer DNS zwraca prywatny adres IP do zapytania. Czy użytkownik nie próbowałby wówczas połączyć się z tym prywatnym adresem IP we własnej sieci ?

tl; dr? W skrócie:

Skonfiguruj BIND9, przewodniki online używają prywatnych adresów IP. Czy ten digwynik zostanie rozwiązany?

julian@server:~$ dig @123.456.789.101 www.example.org

; <<>> DiG 9.8.1-P1 <<>> @123.456.789.101 www.example.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58151
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.example.org.           IN      A

;; ANSWER SECTION:
www.example.org.    10800   IN      CNAME   example.org.
example.org.        10800   IN      A       192.168.182.55

;; AUTHORITY SECTION:
example.org.        10800   IN      NS      ns1.example.org.
example.org.        10800   IN      NS      ns2.example.org.

;; ADDITIONAL SECTION:
ns1.example.org.    10800   IN      A       192.168.182.55
ns2.example.org.    10800   IN      A       192.168.182.55

;; Query time: 2 msec
;; SERVER: 123.456.789.101#53(123.456.789.101)
;; WHEN: Sat Mar 16 18:07:02 2013
;; MSG SIZE  rcvd: 135
Julian H. Lam
źródło

Odpowiedzi:

2

Pliki, które podajesz BIND, mówią BIND, co należy zwrócić w przypadku zapytań (autorytatywne) lub gdzie je rozwiązać (nieautorytatywne). Zwróci dowolny podany adres.

Tak, możesz mieć BIND działający w sieci lokalnej, rozpoznający nazwy dla twojej sieci LAN, które składają się z prywatnych adresów IP. Ten BIND nie musi być dostępny dla całego Internetu, aby ta funkcja działała.

Tak, jeśli instancja BIND jest dostępna za pośrednictwem routera NAT, zwróci te adresy IP, jeśli serwer zostanie zapytany. BIND przeznaczony wyłącznie do użytku prywatnego, który jest publicznie dostępny, może ujawnić szczegóły Twojej sieci.

Przykłady książek zazwyczaj używają prywatnych zakresów adresów IP, aby uniemożliwić ludziom ślepe kopiowanie przykładów i powodowanie nadmiernego ruchu dla niewinnych stron trzecich - również uruchamianie serwera DNS w sieci LAN, który używa zakresów adresów IP w zakresie prywatnym, również nie jest rzadkością.

Serwer DNS w sieci domowej nie będzie dostępny dla nikogo, chyba że:

  • Twój statyczny, publiczny adres IP jest zarejestrowany na globalnym serwerze DNS strefy głównej, który identyfikuje ten publiczny adres IP jako strefę autorytatywną dla danej domeny. Nie można tutaj podać prywatnego adresu IP.

  • Przekonujesz kogoś do korzystania z publicznie dostępnego serwera DNS (co będzie problematyczne, ale nie niemożliwe, jeśli Twój dostawca usług internetowych da ci dynamiczny adres IP). Aby rozwiązać IP przy każdej domenie innej niż Twoja, musisz skonfigurować BIND, aby używał globalnego DNS jako usługi przesyłania dalej (w zasadzie przekazując wszystkie lokalnie nierozwiązywalne wyszukiwania DNS do innego serwera, takiego jak OpenDNS). Otrzymaliby także twoje prywatne adresy IP, które nie działałyby w ich sieci lokalnej, chyba że przypadkiem. To głupi pomysł (chyba że naprawdę chcesz dołączyć do dwóch sieci LAN przez VPN lub coś ezoterycznego) i ogólnie nie to, co chcesz zrobić.

Powyższy plik będzie działał, ale prawdopodobnie nie będzie dla Ciebie przydatny, chyba że naprawdę chcesz mieć możliwość wyszukiwania programów przez DNS ns1.example.orgi uzyskania adresu IP 192.168.182.55 i tak dalej.

LawrenceC
źródło
Chciałem odpowiedzieć czymś „sprytnym”, ale potem przeczytałem tę miłą odpowiedź. Dobra droga!
Ярослав Рахматуллин