Как сделать доступным сервис из lan и из wan по имени?

Question

Zenko @Zenko

Как сделать доступным сервис из lan и из wan по имени?

Есть сервис допустим https://service.domain, сервер с данным сервисом расположен в DMZ роутера который смотрит в интернет, таким образом данный сервер доступен из интернета, но недоступен из внутренней сети.
Во внутренней сети AD с таким же DNS-доменом: .domain соответственно, когда юзер из внутренней сети идет на https://service.domain , внутренний DNS-сервер не находит такого имени, но и не делегирует запрос вышестоящему DNS, так как пространство имен как-бы его.
В таком случае, можно добавить принудительно в DNS-сервер запись service.domain = внешний ір роутера (из интернета сервис доступен). Но в таком случае, не будет ли создаваться лишняя нагрузка на роутер внутренними юзерами?
Возможно есть какой-то более приемлимый способ? При этом, без открытия прямого доступа из внутренней сети в DMZ.

Вопрос задан более трёх лет назад
164 просмотра

4 комментария

Подписаться 2 Простой 4 комментария

Valentin Barbolin @dronmaxman

В таком случае, можно добавить принудительно в DNS-сервер запись service.domain = внешний ір роутера

Почему нельзя внутренний IP указать, что бы пользователи из локальной сети ходили напрямую?

Написано более трёх лет назад
Zenko @Zenko Автор вопроса

Andrey Barbolin, я уже понял как, сервис необходимо перенести в локальную сетку, а в ДМЗ разместить проксирующий сервер. Тогда не будет лишнего трафика наружу и ДМЗ будет максимально изолировано от локальной сети.

Написано более трёх лет назад
Valentin Barbolin @dronmaxman

Zenko, Как вариант.

Написано более трёх лет назад
hint000 @hint000

Zenko, можно пойти дальше и отказаться от DMZ. Всё равно таким решением вы сводите к нулю пользу от DMZ. Подумайте об этом. Если ИБ для вас не пустой звук, то не делайте так. Уязвимость в сервисе - и без боя сдаёте врагу всю локалку.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Система доменных имен

+1 ещё

Простой
Почему сайт не загружается с DNS over HTTPS?
- 1 подписчик
- 4 часа назад
- 35 просмотров
0

ответов
Ubuntu

+2 ещё

Средний
Почему днс антизапрета не работает из докера?
- 1 подписчик
- 5 часов назад
- 99 просмотров
1

ответ
Linux

+2 ещё

Простой
Как настроить 2 ip на сервере?
- 1 подписчик
- 6 часов назад
- 104 просмотра
3

ответа
Компьютерные сети

+4 ещё

Простой
Как открыть локальный сайт в браузере?
- 2 подписчика
- 9 часов назад
- 146 просмотров
3

ответа
Windows

+1 ещё

Средний
Как сделать общий доступ к папке для учетной записи Windows 11?
- 3 подписчика
- 15 часов назад
- 393 просмотра
0

ответов
Сетевое администрирование

+2 ещё

Средний
Как настроить выход серверов с одного ip?
- 3 подписчика
- вчера
- 1720 просмотров
2

ответа
Сетевое администрирование

+4 ещё

Средний
Почему не корректно отрабатывает протокол OSPF?
- 1 подписчик
- вчера
- 108 просмотров
1

ответ
Система доменных имен

+1 ещё

Простой
Как настроить маршрутизацию двух последовательно идущих впн?
- 2 подписчика
- вчера
- 170 просмотров
0

ответов
Linux

+2 ещё

Простой
Как менять AllowIPs на WireGuard?
- 1 подписчик
- вчера
- 90 просмотров
1

ответ
Linux

+3 ещё

Простой
Почему при подключении WireGuard пропадает интернет?
- 1 подписчик
- вчера
- 362 просмотра
1

ответ
Показать ещё Загружается…

Системный / сетевой администратор (Linux/Windows, облачный провайдер)

Cloud4Y • Москва

от 200 000 до 300 000 ₽

Системный администратор AD

Мечел-ИнфоТех • Москва

от 140 000 ₽

Удаленный системный администратор

Ситрус • Москва

от 100 000 до 120 000 ₽

Оптимизация ботов телеграм

06 нояб. 2024, в 00:20

1000 руб./за проект

Смарт-контракт на блокчейне TON

06 нояб. 2024, в 00:03

40000 руб./за проект

Ручное тестирование приложения в сторах (iOS и Android)

05 нояб. 2024, в 23:19

3000 руб./за проект

В таком случае, можно добавить принудительно в DNS-сервер запись service.domain = внешний ір роутера

Почему нельзя внутренний IP указать, что бы пользователи из локальной сети ходили напрямую?
Andrey Barbolin, я уже понял как, сервис необходимо перенести в локальную сетку, а в ДМЗ разместить проксирующий сервер. Тогда не будет лишнего трафика наружу и ДМЗ будет максимально изолировано от локальной сети.
Zenko, можно пойти дальше и отказаться от DMZ. Всё равно таким решением вы сводите к нулю пользу от DMZ. Подумайте об этом. Если ИБ для вас не пустой звук, то не делайте так. Уязвимость в сервисе - и без боя сдаёте врагу всю локалку.

Answer 1 · 2021-10-12 11:52:04

Добавьте на внутренний ДНС запись о сервере.
Адреса сервера для внешнего и внутреннего ДНСа могут быть разные.

Answer 2 · 2021-10-13 11:19:45

Если использовать 3х уровневую модель архитектуры и выделить для каждой части свою виртуалку, тогда:
сервер БД и апп сервер(логика) будут в одном экземпляре, а view (web-сервер), на котором и запущен сервис могут дублироваться во внутренней сети и в ДМЗ.
Конечно прийдется открыть поток по определенному порту из ДМЗ к аппсерверу, но тогда этот доступ будет строго ограничен портом и іршниками, что минимизирует риски взлома но и не исключает их.
Такую вот мысль подкинули.

Как сделать доступным сервис из lan и из wan по имени?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт