防火墙与DNS设定

公司有AD网域，有一台对外防火墙，内部架设一台DNS(192.1.1.1)，和二台网页伺服器aaa.test.com.tw(192.1.1.2)和bbb.test.com.tw(192.1.1.3)，向中华申请的固定IP(220.220.220.220)，请问我在DNS上设定A记录aaa->192.1.1.2及bbb->192.1.1.3，不知这样设有没有错？另外怎么设定防火墙，让外部的人打aaa.test.com.tw和bbb.test.com.tw可以连到各自对应的网页伺服器呢？谢谢！

5 个回答

• 旧至新
• 新至旧
• 最高Like数

2

rb1102

iT邦研究生 2 级 ‧ 2024-12-11 00:43:28

最佳解答

首先，DNS通常会区分外部DNS跟内部DNS
外部DNS是给外部的人查询你对外提供的服务
外部DNS可以自建也可以由域名商代管，主要看你的设定
你应该要在你的外部DNS上建立两笔A纪录
然后在防火墙上设定DNAT(Virtual IP)并且设定port forwarding

如果你只有一个public ip，如果是Fortigate，应该是建立virtual Server去处理
不然就得从VIP port forwarding到其他port去

你在AD上建立的 A记录aaa->192.1.1.2及bbb->192.1.1.3
这只是提供内部使用者查询而已，外部的人查不到

• 
  3

EGG

iT邦新手 5 级 ‧
2024-12-11 08:09:10

学到了，那内部DNS是指像DNS伺服器或是电脑本身的设定吗?
谢谢

学到了，那内部DNS是指像DNS伺服器或是电脑本身的设定吗?<br /> 谢谢

修改

cjlin

iT邦新手 4 级 ‧
2024-12-11 09:02:31

谢谢你的解说，我看怎么改！

谢谢你的解说，我看怎么改！

修改

尼克

iT邦大师 1 级 ‧
2024-12-16 11:20:21

学到了，要给最佳解答

学到了，要给最佳解答

修改

2

cmwang

iT邦大师 1 级 ‧ 2024-12-10 22:54:59

Internet上的人只能连到Public IP,所以供外界查询的DNS上A RR只能是Public IP(i.e 220.x.x.x),至于这个Public IP要怎么mapping到真正的Web server通常是由FW控制的,Forti的名词叫Virtual IP,如果只有一个Public IP要mapping到一个以上的Web site的话,一般是由web server做named virtual server,您参考参考吧....

• 
  1

cjlin

iT邦新手 4 级 ‧
2024-12-11 09:00:47

谢谢你的解说，我再来调整设定！

谢谢你的解说，我再来调整设定！

修改

1

by2048

iT邦高手 1 级 ‧ 2024-12-11 09:08:58

192.1.1.x 是配给美国 RTX BBN Technologies, Inc.
区网都是用192.168.1.x

内部不用再设dns
220.220.220.220 对内的一台web ip,可以同时有两个domain name
可在apache or IIS 同时设aaa.test.com.tw,bbb.test.com.tw

但如果两台web不同os上述方法行不通,只能换不同的外部port才行

0

bluegrass

iT邦高手 1 级 ‧ 2024-12-11 14:36:29

你对外的防火墙是什么?

• 
  4

看更多先前的...收起先前的...

cjlin

iT邦新手 4 级 ‧
2024-12-11 15:10:22

forti

forti

修改

bluegrass

iT邦高手 1 级 ‧
2024-12-11 16:14:39

那么就简单多了

假设你 aaa.test.com.tw 和 bbb.test.com.tw 都已经购买及更了相关A RECORD

FORTI上面搞VIRTUAL IP, 把你对应的WAN IP指向你那两SERVER

比如 220.220.220.222 = 192.1.1.2
比如 220.220.220.223 = 192.1.1.3

再把这两个VIRTUAL IP放到FIREWALL POLICY上启用就完事了
https://www.youtube.com/watch?v=czClo4ztgWs&ab_channel=CybowPoint

那么就简单多了</p> <p>假设你 aaa.test.com.tw 和 bbb.test.com.tw 都已经购买及更了相关A RECORD</p> <p>FORTI上面搞VIRTUAL IP, 把你对应的WAN IP指向你那两SERVER</p> <p>比如 220.220.220.222 = 192.1.1.2<br /> 比如 220.220.220.223 = 192.1.1.3</p> <p>再把这两个VIRTUAL IP放到FIREWALL POLICY上启用就完事了<br /> https://www.youtube.com/watch?v=czClo4ztgWs&ab_channel=CybowPoint</p> <p>

修改

穷嘶发发发

iT邦高手 1 级 ‧
2024-12-12 10:59:28

楼主只有 220 这个IP啊
222 是楼上公司用的 223 是隔壁公司用的
没有权限拿来用啊 ...

楼主只有 220 这个IP啊<br /> 222 是楼上公司用的 223 是隔壁公司用的<br /> 没有权限拿来用啊 ...

修改

bluegrass

iT邦高手 1 级 ‧
2024-12-12 16:00:10

也一样得VIRTUAL IP啊, 就是网页会怪怪了

可能是
220.220.220.220:9443 = 192.1.1.2:443
220.220.220.220:8443 = 192.1.1.3:443

也即是
aaa.test.com.tw:9443 = 192.1.1.2:443
bbb.test.com.tw:8443 = 192.1.1.3:443

丑死了. XD

也一样得VIRTUAL IP啊, 就是网页会怪怪了</p> <p>可能是<br /> 220.220.220.220:9443 = 192.1.1.2:443<br /> 220.220.220.220:8443 = 192.1.1.3:443</p> <p>也即是<br /> aaa.test.com.tw:9443 = 192.1.1.2:443<br /> bbb.test.com.tw:8443 = 192.1.1.3:443</p> <p>丑死了. XD</p> <p><br />

修改

0

ming9900

iT邦新手 3 级 ‧ 2024-12-12 11:04:10

1、如 by2048 所说的，版主公司内网用的 IP 网段：192.1.X.X 是 Public use，是会和 Internet 的 IP 沖到的。
这是一个隠患，建议版本要规划一下如何改正。
不然有一天如果你合作的厂商或客户，刚好是用这个192.1.1 网段，你就会发现你在公司永远开不了对方的网页。

2、外部 DNS,是让Internet 使用者可以查到你公司的 FQDN，这又要看你公司 Domain 网域是和那里申请的，Domain 是用主机模式(託管) / DNS模式(自已架DNS) ？
如果託管，那你可以直接在託管页面上，加A纪录
aaa.test.com.tw ＝220.220.220.222
bbb.test.com.tw ＝220.220.220.223

如果是DNS模式(自已架DNS)，那你公司应该有1台外部DNS，上面就是要自行设定外部DNS的查询 A纪录。

3、FortiGate Virtual IPs 对应 & Policy Allow
这个设定，其他大大都说得差不多了，我就不多说。
如果你设定有问题，应该可以找FW 的经销商帮忙，Fortigate 的设定很亲民，网路上教学也多。