Con respecto a la configuración de DNS, cómo configurar

en el caso del firewall, habrá un firewall en el sistema. Aunque el firewall se ha olvidado lentamente en la prevalencia del software antivirus, todavía tiene su función. Cómo configurar DNS cuando se usa el firewall para que el sistema funcione mejor. Algunas organizaciones quieren ocultar el nombre DNS y dejar que el mundo exterior lo sepa. Muchos expertos creen que los nombres DNS ocultos tienen poco valor, pero si el sitio o la política corporativa exigen que se oculten los nombres de dominio, también es un enfoque conocido y viable. Otra razón por la que puede tener que ocultar el nombre de dominio es si existe un esquema de direccionamiento no estándar en su red interna. No se engañe pensando que si oculta su nombre de DNS, el atacante tendrá más dificultades cuando un atacante entre en su firewall. La información sobre su red se puede obtener fácilmente desde la capa de red. Si está interesado en confirmarlo, puede "hacer ping" a la dirección de transmisión de la subred en la LAN y luego ejecutar " arp -a ". También se debe tener en cuenta que ocultar el nombre de dominio en el DNS no resuelve el problema de "filtrar" el nombre de host del encabezado del correo, artículos de noticias y similares.

Este método es uno de los muchos métodos que son útiles para las organizaciones que desean ocultar sus nombres de host de Internet. El éxito de este enfoque depende del hecho de que el cliente DNS en una máquina no tiene que hablar con un servidor DNS en la misma máquina. En otras palabras, debido a que hay un servidor DNS en una máquina, no hay nada de malo en redireccionar la actividad del cliente DNS de la máquina a un servidor DNS en otra máquina.

Primero, configura un servidor DNS en el host de cabeza de puente que puede comunicarse con el mundo exterior. Configura este servidor para que anuncie el derecho a tener acceso a su nombre de dominio. De hecho, lo que este servidor sabe es lo que quiere que sepa el mundo exterior: el nombre y la dirección de su puerta de enlace, su registro de comodín MX, etc. Este servidor es el servidor "público".

Luego, crea un servidor DNS en la máquina interna. Este servidor también anuncia la potencia de su nombre de dominio; a diferencia de los servidores públicos, este servidor está diciendo la verdad. Es su servidor de nombres "normal", puede poner todo su nombre de quo "normal" en este servidor. Configura este servidor para que pueda reenviar las consultas que no pueda resolver al servidor público (por ejemplo, usando la línea de reenvío " forwarder " en /etc/named.boot en una máquina Unix).

Finalmente, configure todos sus clientes DNS (por ejemplo, el archivo /etc/resolv.conf en una máquina Unix) para utilizar servidores internos, que incluyen clientes DNS en la misma máquina que el servidor público. Esta es la clave.

Preguntando a un cliente interno acerca de un host interno para hacer preguntas y obtener una respuesta al servidor interno; pregunte a un cliente interno acerca de un host externo para consultar el servidor interno y el cliente interno al servidor público Realice una consulta, el servidor público luego busque en Internet y luego pase las respuestas paso a paso. Los clientes en el servidor público también funcionan de la misma manera. Sin embargo, un cliente externo que solicita información sobre un host interno solo puede obtener la respuesta de " restringido " del servidor público.

Este enfoque asume que hay un firewall de filtrado de paquetes entre los dos servidores que permite que los servidores pasen el DNS entre sí, pero de lo contrario limita el DNS entre otros hosts.

Otro truco útil de esta manera es usar el registro PTR de comodín en su nombre de dominio IN-ADDR.AROA. Esto hará que la búsqueda de "dirección a nombre" para cualquier host no público devuelva información como "unknown.YOUR.DOMAIN" en lugar de devolver un error. Esto satisface los requisitos de un sitio FTP anónimo como ftp.uu.net. Tales sitios requieren el nombre de la computadora con la que se comunican. Este método no funciona cuando se comunica con sitios que realizan comprobaciones cruzadas de DNS. En una verificación cruzada, el nombre del host coincide con su dirección, y la dirección también coincide con el nombre del host.

La configuración del DNS no es tan simple como se supone que es, es tan difícil, pero como está configurado, debe ser meticuloso y la atención a los detalles es indispensable, por lo que debe tener un buen aspecto cuando opera. Para evitar errores, debemos empezar de nuevo.