dns [RESOLVIDO]

Boa tarde pessoal,

|Modem 1| |Modem 2| |Modem 3|

(obs: Todos em DMZ para o firewall roteador 1)
_______________
|Firewall |
|(Roteador) 1 |
|______________|

Ambiente 1 Ambiente 2 Ambiente 3
_______________ _______________ _______________
|Firewall 2 | |Firewall 3 | |Firewall 4 |
| | | | | |
|______________| |______________| |______________|
172.168.16.0/16 10.0.0.1/8 192.168.0.0/24

Virtual Hosts (Sites) Ambiente de Visitantes Ambiente WorK Interno
Zonas DNS Acesso a rede normal. AD
EMAIL FS
APP

No Ambiente 2 eu aponto dns do Firewall para o google por que é para eventuais clientes.

No Ambiente 3 Tenho Dúvida, pois eu tenho o DNS no AD, então qual dns seto no firewall? Do AD (interno) ou externo (Ex Google)?

No ambiente 1 tenho hospedagem de de uns 7 sites, email interno, e também direciono um mx pois tenho anti spam interno e um cliente tem email em outra empresa. Estou fazendo o ambiente 1, a dúvida é qual dns boto no firewall 2?

Como assim colocar DNS no firewall?

Via de regra quem define os DNSs a serem procurados em uma rede é o servidor DHCP e fora da rede é o do modem/roteador.

é que todo host tem um dns normal, /etc/resolv.conf
e a dúvida qual dns eu ponho neste firewall que são o que controlam rede pois estão nas bordas,
já que os modens estão em dmz e sem dhcp sem nada.

Procures colocar os mesmos DNSs em todas as configurações, para manter um padrão.

Hm, mas nada muda na rede então? mesmo que eu tenha um mx na minha rede que recebo emails não faz mal ter um dns interno.

Veja bem, o que define a ordem de busca dos DNSs é o que tu colocares no escopo do dhcpd.conf na linha

option domain-name-servers xxx.xxx.xxx.xxx, xxx.xxx.xxx.xxx, xxx.xxx.xxx.xxx;

o IP do DNS que estiver em primeiro é o primeiro a ser procurado (esse deve ser o IP do teu DNS interno), caso ele não for encontrado será procurado o seguinte e assim por diante. Procure sempre colocar por último nessa linha o IP do teu gateway da rede interna.

Mas há outras questões a serem consideradas. Os DNSs que estiverem configurados no modem/roteador da tua rede terão prioridade para a rede externa, além do que, geralmente as operadoras direcionam para os DNSs deles.

Os DNSs do resolv.conf, se tu observares com cuidado, verás que são os mesmos que estão no dhcpd.conf, pois o resolv.conf busca os DNSs do dhcpd.conf (no caso de rede interna) ou da configuração do modem/roteador (no caso da rede externa e se não tiver um DNS interno).

Resumindo, a coisa funciona assim: primeiro será buscado o teu DNS interno e o que ele não encontrar no cache dele, ele buscará nos próximos DNSs abertos que tu colocares na linha. Colocar o Ip do gateway por último significa que deixará para ele procurar um DNS aberto mais próximo. Isso é interessante, pois se não for encontrado nenhum DNS (bastante improvável) da linha option domain..., o gateway automaticamente procurará um na internet.

E nessa brincadeira também influi os IPs de DNSs que tu colocares na opção 'forwarders' da configuração do DNS. Mas a prioridade é do dhcpd.conf, por isso os IPs de DNSs colocados no dhcpd.conf e no arquivo do DNS (por exemplo, named.conf.options) devem ser os mesmos.

Em relação ao mx, não faz mal ter um DNS interno.

Veja bem, o teu DNS interno vai guardando em cache as requisições feitas a ele, quando ele não encontra uma requisição, ele procura no DNS seguinte do dhcpd.conf e guarda no cache. Por isso que com o tempo o DNS interno vai melhorando o tempo de resposta das requisições e aprimorando o desempenho da rede.

No teu DNS interno, antes tu deves configurar o cache e nas opções de segurança fechar o DNS para que ele escute somente na tua rede interna. O que ele não encontrar no cache dele, ele irá procurar no próximo DNS que estiver no escopo do dhcpd.conf naquela linha acima.
Lembrando que o Bind, quando instalado, já traz nele os DNSs raízes, então isso é automático.

As opções de segurança é que definem se o DNS será interno ou se será aberto, como no caso do DNS do Google, GigaDns, etc.
Se tu quiseres pode fazer um DNS aberto, mas daí aumentará a carga em cima dele, pois os modens/roteadores aí da tua região começarão a enviar requisições para ele tendo em vista que geograficamente ele está mais perto, é só um exemplo que estou dando.

Veja no link abaixo uma configuração básica:
http://www.vivaolinux.com.br/artigo/Configuracao-do-sistema-DHCP-compartilhamento-e-DNS-no-Debian-Sq...


Esqueci: os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local, mas pelo que tu postastes, tu tens somente os modens na DMZ, então não tem problema, é só não colocares os IPs do teu DNS interno nos modens, e no firewall ligado a essa DMZ não coloques o IP do teu DNS interno.
Dessa maneira somente tua rede interna fará uso do teu DNS interno, ou seja, somente o escopo da tua rede interna é que deve conter informações relativas ao teu DNS interno.
Era essa tua dúvida?

Muito boa a explicação obrigado,
então no meu firewall posso deixar no resolv.conf o endereço do meu ad que é meu srvdns atual e por segundo um dns externo para caso não ache ele irá procurar externo certo no caso de uma consulta a um endereço externo ex google.com.br certo? Basicamente seria isso. ok muito obrigado

De nada.

Não é uma boa prática fixar o DNS no resolv.conf, isso deve ser feito no dhcpd.conf e no arquivo de configurações do Bind. O resolv.conf deve ficar dinâmico, senão poderá te dar problemas com DNS futuramente.
Em desktops não tem problemas, mas em servidores é arriscado.