商业源码 思科认证:在使用防火墙时如何使用DNS
一些机构想隐藏DNS名,不让外界知道。许多专家认为隐藏DNS名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的DNS名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。
这种方法是许多方法中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说,正是由于在一台机器上有一个DNS服务器,因此,将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥(并且经常有好处)。
首先,你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。
然后,在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/ namedboot中的“转发器”行——forwarder line)。
最后,设置你所有的DNS客户机(例如,Unix机上的/etc/resolvconf文件)使用内部服务器,这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。
询问有关一台内部主机信息的内部客户机向内部服务器提出问题,并得到回答;询问有关一部外部主机信息的内部客户机向内部服务器查询,内部客户机再向公共服务器进行查询,公共服务器再向Internet查询,然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是,一台询问关于一台内部主机信息的外部客户机,只能从公共服务器上得到“限制性”的答案。
这种方式假定在这两台服务器之间有一个滤防火墙,这个防火墙允许服务器相互传递DNS,但除此之外,限制其它主机之间的DNS。
这种方式中的另一项有用的技巧是利用你的IN-ADDRAROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”(address-to-name)的查找返回像“unknownYOURDOMAIN”这样的信息,而非返回一个错误。这就满足了像ftpuunet匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时,这种方法就不灵了。在交叉检查中,主机名要与它的地址匹配,地址也要与主机名匹配。
思科DHCP服务器配置实例解析
首先我们应该汇总下我们所需要达到的目标:为服务器提供固定的地址,即做MAC与IP地址的绑定为客户机提供并非固定的地址,通常这会涉及到子网因为我们的实验环境限制,我们先设定第二条,检查下客户机能否得到IP地址,再设置第一条,看看是否按照我们的设定的得到IP地址。那么DHCP服务器配置文件如下:
ddns-update-style interim;
ignore client-updates;
subnet 19216810 netmask 2552552550 {
# --- default gateway
option routers 1921681254;
option subnet-mask 2552552550;
option nis-domain " skycom";
option domain-name " skycom";
option domain-name-servers 19216812;
option time-offset -18000; # Eastern Standard Time
# option ntp-servers 19216811;
# option netbios-name-servers 19216811;
# --- Selects point-to-point node (default is hybrid) Don't change this unless
# -- you understand Netbios very well
# option netbios-node-type 2;
range 1921681100 1921681250;
default-lease-time 21600;
max-lease-time 43200;
}
保存并退出,然后重启dhcpd服务
[root@a ~]# service dhcpd restart
Shutting down dhcpd: [OK]
Starting dhcpd: [OK]
之后我们开启客户端,将客户机网卡设置为DHCP模式,然后我们可以看到客户机的IP地址为1921681250,因为dhcp的IP地址倒着分发。
将客户机进行ip与MAC的绑定,首先要获知客户机的MAC地址,Windows系统进入CMD,使用getmac命令,linux使用ifconfig可看到。之后我们修改配置文件,完整配置文件如下:
ddns-update-style interim;
ignore client-updates;
subnet 19216810 netmask 2552552550 {
# --- default gateway
option routers 1921681254;
option subnet-mask 2552552550;
option nis-domain " skycom";
option domain-name " skycom";
option domain-name-servers 19216812;
option time-offset -18000; # Eastern Standard Time
# option ntp-servers 19216811;
# option netbios-name-servers 1921681
telnet和ssh登陆提示
1;
# --- Selects point-to-point node (default is hybrid) Don't change this unless
# -- you understand Netbios very well
# option netbios-node-type 2;
range 1921681100 1921681250;
default-lease-time 21600;
max-lease-time 43200;
host server2{
hardware ethernet 00:0c:29:47:04:17;
fixed-address 19216812;
}
}
之后我们重启DHCP服务
[root@a ~]# service dhcpd restart
Shutting down dhcpd: [OK]
Starting dhcpd: [OK]
重启启用客户机的网卡,service network restart ,之后查看IP信息,这时我们可以看到地址已经变为19216812
DHCP服务器配置故障排除
1 如果遇见service dhcpd restart/start 无法启动的时候,可以试下:[root@a ~]# /usr/sbin/dhcpd start
如果你的配置文件有错误的话,会出现提示,主要关注的部分为line 之后的
2 修改/etc/sysconfig/dhcpd文件,改变dhcp服务所监听的网口(在多网卡下),在DHCPDARGS=后面添加eth0
3 另外可以关注下/var/lib/dhcpd/dhcpdleases文件,这里面主要保存的是地址的分发
DHCP服务器配置之防火墙的配置
DHCP服务器主要工作在端口67上监听,然后在端口68上回应客户,所以我们需要配置防火墙,在服务器上面运行:Syetem-config-securitylevel,在other ports里面添加TCP 67 68端口即可,然后启动防火墙,运行service iptables start,然后测试,删除dhcpdconf配置文件中绑定的部分,之后重启客户机的网卡,检测下能够正确获得到IP地址。
DHCP服务器配置总结
DHCP服务器配置实验至此就结束了,另外分享个技巧,在测试的时候,将2台VM虚拟的linux网卡模式调成Vmnet2模式,那样不会受到干扰。
;
0条评论