Авторитетный, публичный DNS сервер внутри локальной сети. Возможно ли?

[AnrDaemon]

При чём тут второй внешний адрес? Ты не понимаешь или не хочешь понять?
Купи хостинг вторичного DNS в любой конторе. Хоть у самого регистратора, чуть менее, чем все регистраторы предоставляют услуги поддержки зон за вознаграждение, близкое к символическому.

[siriosus]

Прошу прощения но похоже вышла путаница. Я спросил про то как сделать эту самую демилитаризованную зону (то бишь ту самую относительно безопасную для локалки и смотрящую некоторыми портами наружу сеть) а не про надобность вторичного DNS. C этим мне всё относительно понятно. Опишите если не жалко на пальцах что и как нужно сделать?

[AnrDaemon]

Ставится отдельный компьютер, содержащий только абсолютно необходимые сервисы и только совершенно необходимые данные. Подключается только к интернету, ни к чему больше.
Включается. Работает.
Для вящей безопасности можно даже SSH сервер на нём не поднимать и все необходимые изменения проводить через консоль.

Другими словами, "не ломается не потому, что так хорошо защищено, просто нечего ломать".

[Karl500]

Не совсем так ))

Давайте на конкретном примере - будет проще.

Есть файрволл с тремя сетевыми интерфейсами.

1 - имеет внешний адрес, например - 1.2.3.4
2 - адрес локальной сети, например 10.0.0.253 и маску 255.255.255.0
3 - адрес dmz, например, 10.0.1.253 и маску 255.255.255.0

При этом к локальной сети доступ снаружи запрещен вообще. К компьютеру с адресом (например) 10.0.1.1 (это - наш сервер) проброшены только нужные порты, например, 80, 443, 25 и т.п. (смотря что именно там крутится, и к чему нужен доступ).
Из dmz доступ к локальной сети тоже запрещен. Из локальной сети вообще говоря, разрешен доступ всюду (в том числе, и в dmz).

Например, так.
Пользователь решил продолжить мысль 22 Июня 2010, 22:33:13:@RustemNur,

А что именно подробнее? Например, ест файрвол с адресом 1.2.3.4 на внешнем интерфейсе. На этом же интерфейсе поднят алиас 1.2.3.5. Порты алиаса 1.2.3.5 проброшены на сервер в dmz (в вышеприведенном примере - 10.0.1.1). Что это дает? Многое. Например, так я могу физически разнести разные (например) веб-сайты на разные (физически) сервера, находящиеся за одним и тем же NAT-ом (файрволлом) (в DNS при этом прописываются адреса алиасов, конечно).

[AnrDaemon]

DMZ (на SOHO роутерах) подразумевает полностью открытый компьютер (все входящие соединения будут направляться на указанный адрес).

[RustemNur]

что именно подробнее? Например, ест файрвол с адресом 1.2.3.4 на внешнем интерфейсе. На этом же интерфейсе поднят алиас 1.2.3.5. Порты алиаса 1.2.3.5 проброшены на сервер в dmz (в вышеприведенном примере - 10.0.1.1). Что это дает? Многое. Например, так я могу физически разнести разные (например) веб-сайты на разные (физически) сервера, находящиеся за одним и тем же NAT-ом (файрволлом) (в DNS при этом прописываются адреса алиасов, конечно).

Спасибо. Я просто сначала не понял, что речь идет о двух "белых" IP.

[Karl500]

А кто говорит про soho роутеры? Речь о файрволле с тремя сетевыми интерфейсами. Например, на базе linux. И, кстати, на такие файрволлы обычно ставят специальные hardened дистрибутивы (с дополнительными патчами безопасности), да еще и без всякого рода программ типа ssh, telnet (не демонов, а именно программ), без компиляторов/библиотек и т.п. Т.е. - только совершенно необходимое для работы файрволла. Это все для того, чтобы даже если файрволл взломан, с него ничего нельзя было бы сделать (именно "с него").

[AnrDaemon]

Ну, моя идея в этом и заключалась... как бэ.