网络拓朴如下图所示:
设备:PIX 520 软件4.x版、6.22版:
目前的情况是:DDN接入我单位,并且分配有公网IP地址。
outside的网段是 202.99.100.0/24
DMZ 的网段是 192.168.1.0/24
Inside 的网段是 10.10.1.0/24
有已经在CNNIC注册好的域名一个:abc.com.cn,并且是由自己来解析域名,注册时的域名服务器用的是202.99.100.1
一般的情况是在inside架设一台DNS服务器,供Inside的用户使用,而且这个一般是不能缺少的,因为有的服务并不是对外提供的,而是仅仅Inside内的用户使用,并且服务器放在Inside中,这里对Inside的DNS和主机的设置就不多说了。另外,在DMZ区架设一台NDS服务器,用于对外解析abc.com.cn,如解析www.abc.com.cn到202.99.100.2,DNS服务器和WEB服务器都放在DMZ区,用
static (dmz,outside) 202.99.100.1 192.168.1.1 netmask 255.255.255.255 0 0
static (dmz,outside) 202.99.100.2 192.168.1.2 netmask 255.255.255.255 0 0
…………..
……….
……
conduit permit udp host 202.99.100.1 eq domain any
conduit permit tcp host 202.99.100.2 eq www any
来解决外面访问DMZ区服务器的问题。
好了,现在问题出现了,那么DMZ区和inside的主机或者服务器,它们之间该是如何相互访问域名呢?DMZ区的主机或者服务器,它们本身的DNS该指向哪里呢?如果指向DMZ区的那台DNS(192.168.1.1),那么,它们在访问www.abc.com.cn的时候得到的解析结果是202.99.100.2,显然不能访问。最简单的解决办法是,在DMZ区再架设一台DNS,专门为这个区的主机来服务,解析www.abc.com.cn
到192.168.1.2。不过如果这样的话,首先将在DMZ区增加一台服务器,至少要在一台服务器上增加DNS服务;另外,如果每次DNS新增主机的时候,要在两台DNS上做添加、修改。其实,在PIX520 上的alias命令能解决这个问题,让你的DMZ区只需要一台DNS服务器。
alias (dmz) 192.168.1.2 202.99.100.2 255.255.255.255
好了,就是这条命令。
但是,我多次的试验就是不成功。我的最初的想象是,DMZ区的主机DNS指向就是DMZ区的DNS服务器,当解析回来的地址是202.99.100.2的时候,在防火墙上的alias (dmz)……命名会告诉那台主机,它还有别名叫192.168.1.2,然后主机就会去访问192.168.1.2,但是实际情况是DMZ区的主机无论如何都是无法Ping通www.abc.com.cn ,更别说浏览了。最终通过试验发现,DMZ区的主机或者服务器,它们的DNS指向不能是本区的DNS服务器,而是公网上的(如数据局)一台DNS服务器,这样,它们访问 www.abc.com.cn就没有问题了。
原理是这样的:DMZ区的一台主机发出对www.abc.com.cn
的DNS请求,公网上的那台DNS服务器最终会把解析请求发给DMZ区的那台DNS服务器(192.168.1.1),它解析的结果是202.99.100.2并把解析包告诉公网DNS服务器,公网的DNS服务器返回给DMZ区主机的dns reply包会被PIX上的alias (dmz)……命名所更改成192.168.1.2,从而使DMZ区的主机用域名的方式成功访问本区内的服务器,而由外面向dmz的dns请求以及返回包不受影响。
ALIAS命令完整的格式解析:
alias (发出DNS请求的接口) 需要转换成的IP地址 外部DNS server给出的响应地址 255.255.255.255
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073