DNS與防火牆
基於安全性的考量,配合防火牆的建置常常需要設置內部DNS伺服器及外部DNS伺服器。當建置有網路位址轉換機制(NAT)的防火牆時,更需要設置內部DNS伺服器供內部機器查詢,這時所查到的內部機器都是機器上的內部IP;另外建立一個外部DNS伺服器供外部的機器查詢,這時所查到的內部機器都是網路位址轉換過的NIC IP。注意防火牆本身必須詢問內部的DNS伺服器而非外部的DNS伺服器。
而通常以Split DNS來實現上述功能,Split DNS的意義就是在於將所要對外公佈的主機資訊以及只可對內公佈的主機資訊經由兩個獨立運作的DNS server來處理,如此可以達到內部使用者可正常查詢內部主機資訊而外界使用者無法順利窺視內部主機資訊的目的。
因此當外部主機需查詢內部主機時,便將封包送至防火牆,再由防火牆決定是否轉送此封包至內部DNS伺服器(取決於是否要讓內部主機供外部查詢)。反之,當內部主機查詢外部主機時,內部DNS伺服器會將此查詢轉送至防火牆,再由防火牆將此DNS查詢轉送至外部DNS伺服器。

nslookup 使用說明
輸入nslookup命令後,會看到>提示符號,此時打?就會出現nslookup說明
Interactive/Noninteractive(交談式/非交談式):
執行nslookup時可以直接在後面跟著我們要查詢的資料,那麼nslookup會直接把結果傳回來,如果只打入nslookup[enter],則進入交談模式,出現提示符號>,此時nslookup會等待user input command.
Authoritative/Non-Authoritative:
在查詢時有時會出現Non-authoritative answer,代表這個答案是由local DNS的cache中直接讀出來的,而不是local DNS向真正負責這個domain的name server問來的.
常用的一些option/command:
1.set all:可以得知目前nslookup的一些default設定值
2.server dns_server_ip:表示將內定的local DNS換成另一部server
3.set type=any:表示在查詢某個domain name時,將和這個domain name的一些相關資料一併顯示出來
4.set type=ptr:本來要由IP反查domain name時,在直接打IP就行了,但如果已經下了type=any的話,要由IP反查時就沒那麼方便了,此時IP 4個數字要倒著寫,最後還要加上in-addr.arpa.以查140.116.72.219為例,要輸入的就是219.72.116.140.in-addr.arpa
5.ls domain:這個命令是要求name server將其負責的zone內容show出來,這個動作相當於name server的整份記錄從server端傳回給nslookup這個程式,這種傳回整個zone的動作叫作zone transfer

taichenyu 發表在 痞客邦 PIXNET 留言(0) 人氣()