防火墙与DNS请教

公司有AD网域，有一台对外防火墙，内部架设一台DNS(192.1.1.1)，和二台伺服器aaa.test.com.tw(192.1.1.2)和bbb.test.com.tw(192.1.1.3)，向中华申请的固定IP(220.220.220.220，220.220.220.221)，请问我在DNS上设定A记录aaa->192.1.1.2及bbb->192.1.1.3，内部使用者192.1.1.66可以连线aaa和bbb这二台伺服器，但外部使用者就无法连到这二台伺服器了，那我应该怎么设定防火墙，让外部的人打aaa.test.com.tw和bbb.test.com.tw可以连到内部的伺服器呢？还是我需要再架设一台DNS让外部的使用者可以查询到对应的内部伺服器，这要怎么设定？防火墙又需要如何调整？谢谢

6 个回答

• 旧至新
• 新至旧
• 最高Like数

3

mathewkl

iT邦高手 1 级 ‧ 2024-12-21 10:05:10

我看你上一篇已经问过了...

test.com.tw有没有买网域?
没有->VPN解
使用者通通VPN进公司内网才能浏览网站
或者用虚拟IP(见下面)，但使用者通通只能打IP才能浏览网站

有->外部DNS加虚拟IP解
外部DNS设A纪录
aaa.test.com.tw 220.220.220.220
bbb.test.com.tw 220.220.220.221
防火墙设
220.220.220.220->192.1.1.2
220.220.220.221->192.1.1.3

• 
  7

看更多先前的...收起先前的...

cjlin

iT邦新手 4 级 ‧
2024-12-21 19:51:06

你的设定模式就是我目前的做法，但这个做法对内部的使用者来说，变成无法直接连上内部伺服器，会先出去防火墙后，再透过防火墙连接内部伺服器，
可能是我的表达有错误，我是希望内部使用者192.1.1.66连接aaa.test.com.tw时，可以直接连接到内部伺服器192.1.1.2，而外部使用者连接aaa.test.com.tw时，则透过防火墙将220.220.220.220转到内部的192.1.1.2伺服器，
不知有什么方式可以达成上面的连线方式，谢谢！

你的设定模式就是我目前的做法，但这个做法对内部的使用者来说，变成无法直接连上内部伺服器，会先出去防火墙后，再透过防火墙连接内部伺服器，<br /> 可能是我的表达有错误，我是希望内部使用者192.1.1.66连接aaa.test.com.tw时，可以直接连接到内部伺服器192.1.1.2，而外部使用者连接aaa.test.com.tw时，则透过防火墙将220.220.220.220转到内部的192.1.1.2伺服器，<br /> 不知有什么方式可以达成上面的连线方式，谢谢！

修改

mathewkl

iT邦高手 1 级 ‧
2024-12-21 19:52:06

内部DNS A纪录 aaa.test.com.tw 192.1.1.2 / bbb.test.com.tw 192.1.1.3
外部透过外部DNS走虚拟IP转，内部用内部DNS转

内部DNS A纪录 aaa.test.com.tw 192.1.1.2 / bbb.test.com.tw 192.1.1.3<br /> 外部透过外部DNS走虚拟IP转，内部用内部DNS转

修改

cjlin

iT邦新手 4 级 ‧
2024-12-22 00:09:36

所以是要再加一台DNS吗？一台对内给内部使用者，一台对外给外部使用者，那不知这样的二台DNS该怎么架呢？

所以是要再加一台DNS吗？一台对内给内部使用者，一台对外给外部使用者，那不知这样的二台DNS该怎么架呢？<br />

修改

rb1102

iT邦研究生 2 级 ‧
2024-12-22 02:19:44

内部使用者的网路DNS设定，应该就是指向AD呀
AD本身也负责DNS服务，他也会负责所有内部网域的查询

内部使用者连接aaa.test.com.tw → 找AD查询该笔纪录→返回192.1.1.2

还是user端的DNS是直接设定成外面的公共DNS?
会造成user走到WAN的原因大概就是因为user端的DNS没有指向内部AD，所以user都解析到public ip

内部使用者的网路DNS设定，应该就是指向AD呀<br /> AD本身也负责DNS服务，他也会负责所有内部网域的查询</p> <p>内部使用者连接aaa.test.com.tw → 找AD查询该笔纪录→返回192.1.1.2</p> <p>还是user端的DNS是直接设定成外面的公共DNS?<br /> 会造成user走到WAN的原因大概就是因为user端的DNS没有指向内部AD，所以user都解析到public ip

修改

cjlin

iT邦新手 4 级 ‧
2024-12-22 09:13:49

我只有一台AD上的DNS服务，所以内部使用者也是使用这台DNS，但如果DNS的A记录是设aaa.test.com.tw->192.1.1.2的话，那么外部的使用者就连不到aaa.test.com.tw了，若把aaa.test.com.tw改设成220.220.220.220，就会变成外部使用者可以连的到aaa.test.com.tw，但内部使用者就连不到，
针对这个状况，请教有什么方式可以解决呢？谢谢！

我只有一台AD上的DNS服务，所以内部使用者也是使用这台DNS，但如果DNS的A记录是设aaa.test.com.tw->192.1.1.2的话，那么外部的使用者就连不到aaa.test.com.tw了，若把aaa.test.com.tw改设成220.220.220.220，就会变成外部使用者可以连的到aaa.test.com.tw，但内部使用者就连不到，<br /> 针对这个状况，请教有什么方式可以解决呢？谢谢！

修改

mathewkl

iT邦高手 1 级 ‧
2024-12-22 15:16:35

test.com.tw是跟谁买的? 有无提供外部DNS服务? 这又回到我第一行问题了

test.com.tw是跟谁买的? 有无提供外部DNS服务? 这又回到我第一行问题了

修改

tonylinese

iT邦新手 5 级 ‧
2024-12-23 01:56:59

已改成回答

已改成回答

修改

1

snoopy

iT邦新手 4 级 ‧ 2024-12-22 10:20:34

如果你的网域是跟Hinet买的，可以使用Hinet DNS代管功能
在Hinet DNS代管上设定aaa.test.com.tw 的IP为220.220.220.220
内部仍是使用内部的DNS不冲突

0

bird23074035

iT邦新手 5 级 ‧ 2024-12-23 01:28:55

通常买网域就会附赠DNS，m大意思就是外部要连就用外部网域的DNS处理就好了，如果你没买网域，外部的人没有办法透过 domain 连进来你的机器，因为test.com.tw不是你的，你无法控制。

0

tonylinese

iT邦新手 5 级 ‧ 2024-12-23 01:58:02

aaa.test.com.tw设定成220.220.220.220 在防火墙上设定loopback就可以运作

0

snowflakes

iT邦新手 5 级 ‧ 2024-12-23 14:16:04

一般是需要用内部server提供的服务才会需要这样解，
用VPN比较简单，连上来就用内部的DNS

0

bluegrass

iT邦高手 1 级 ‧ 2024-12-30 09:39:58

上次回答不早告诉你了-.- FORIGATE搞VIP啦

如果你要内部用户用WAN IP也可以浏览到那两个SERVER, 就得搞个NAT LOOPBACK