Можно ли использовать публичный DNS-хостинг для размещения на домене поддоменов, ведущих на внутренние IP серверов?
Например, есть example.com и нужно:
server1.example.com -> 192.168.1.1
server2.example.com -> 192.168.1.2
и так далее.
Разумеется, глобальный доступ к серверам не нужен, наоборот - недопустим. Цель - иметь DNS, который будет доступен из любого филиала фирмы с любым интернет-каналом и роутером без необходимости доп. настроек. И получить прописывание имени хоста вместо IP для удобства.
Какие могут быть подводные камни и как тут с безопасностью? Понятно, что любой тогда сможет получить серые IP серверов, которые вообще никак не должны быть доступны из вне, что это ему даст в плане хакерской атаки?
Это ему даст информацию о внутреннем составе инфраструктуры сети и ее адресах. Если хакер закрепился на одном сервере - ему не надо искать дальнейшие цели, он их уже знает. Это сокращает время, которое есть у Вас на то, чтобы атаку отбить.
Это примерно как вывешивать на двери квартиры - ее план и перечень бытовой техники внутри :)
Правильный вариант, все таки использовать внутренний DNS. На большинстве роутеров можно добавлять статические DNS записи, если это бытовые роутеры и их много то обслуживать этого зоопарка - это отдельный геморой.
Путь самурая. Можно поднять внешний DNS с поддержкой TLS, на клиентах настроить NRPT политику (это касается windows) и будет безопасно, но геморно обслуживать.
Или твой вариант, работать будет, но с точки зрения безопасности это не красивая дырочка, но очень удобно в обслуживании.
Лично я давно перешел на клиентские сертификаты (намного удобнее чем VPN) и теперь не боюсь публиковать web сервисы.
Понятно, что любой тогда сможет получить серые IP серверов, которые вообще никак не должны быть доступны из вне, что это ему даст в плане хакерской атаки?
Прямо так и любой. Для этого ему сначала надо узнать о самом существовании поддоменов, не говоря уже об их именах.