Вопрос по настройке DNS

[Malamut]

Обнаружил у себя фундаментальные пробелы в образовании. Если кто заполнит - буду премного благодарен.

Ситуация: Есть некая организация с несколькими внутренними сетями и одним внешним IP. IP понятное дело висит на шлюзе. Внутри организации есть несколько серверов, на которые проброшены порты со шлюза. Соответственно из интернета я могу по единственному IP организации заходить и на HTTP, и на SMTP, и на FTP.

Далее: у организации есть доменное имя, которое обслуживается внешними DNS серверами провайдера. Некоторые поддомены ссылаются на IP организации, некоторые - на IP других серваков. Внутри организации также есть свои DNS, которые обслуживают внутренний локальный домен.

Допустим IP у нас 200.200.200.123, внешний домен - domain.com, а одна из A записей, ссылающихся на 200.200.200.123, имеет вид mail.domain.com. На шлюзе 20 порт проброшен на сервер 192.168.1.5.

Задача: хочу чтобы внутри сети mail.domain.com резолвился не в 200.200.200.123, а в 192.168.1.5. Вопрос: как это сделать? Сразу скажу, сделать копию зоны domain.com не имею возможности, поскольку она постоянно меняется и поддерживать копию в актуальном состоянии на локальных серверах некому. Мне нужно фактически только одно: чтобы на запрос к определённым поддоменам домена domain.com внутри организации выдавался внутренний IP.

Я, естественно, попробовал создать зону domian.com на внутреннем серваке и внести туда нужные мне записи. Но как сделать так, что бы за именами, для которых в этой зоне нет записей, он ходил на внешний DNS, я так и не понял.

Сейчас у меня либо не ресолвятся имена из домена, к которым я не имею отношения, либо все имена ресолвятся во внешние IP. Как часть ресолвить во внутренние, а часть во внешние - я так и не понял.

[Mam(O)n]

Но как сделать так, что бы за именами, для которых в этой зоне нет записей, он ходил на внешний DNS, я так и не понял.

Наверное есть более прямые пути решения, но пока на ум приходит одно. Если есть возможность вкорячить в эту схему днс-проксик dnsmasq то можно будет на том серваке вкорячить эту запись в /etc/hosts и он будет брать ту запись из этого файла а за остальным лезть на вышестоящие серваки.

[AnrDaemon]

Задача: хочу чтобы внутри сети mail.domain.com резолвился не в 200.200.200.123, а в 192.168.1.5.

Делай.

Вопрос: как это сделать?

Настройки видимости зоны. Можно договориться вплоть до того, что для разных подсетей одной сети на одно имя будут отдаваться разные IP.

Сразу скажу, сделать копию зоны domain.com не имею возможности, поскольку она постоянно меняется и поддерживать копию в актуальном состоянии на локальных серверах некому.

А сервера на что тогда? Не хочешь делать дурную работу - поручи её железке.

Мне нужно фактически только одно: чтобы на запрос к определённым поддоменам домена domain.com внутри организации выдавался внутренний IP.

Легко. Больше того, bind на это изначально рассчитан.

[Malamut]

Все блин умные, хотя бы кто сказал - как???

Ещё разок: есть ДВА DNS сервера - dns-out и dns-in. Есть ОДНА зона - domain.com. Есть две сети - внутренняя и внешняя. Внешняя смотрит на dns-out, внутренняя на dns-in. Нужно иметь на dns-out записи, которых НЕ будет на dns-in в принципе ни под каким соусом и никогда, но которые всё же будут доступны из внутренней сети. Т.е. допустим a.domain.com есть и на dns-out, и на dns-in, соответственно со внешних хостов IP для него берется с dns-out, с внутренних - с dns-in. Эти IP не совпадают и всё пучком, то, что нам и надо.
НО!! Есть так же множество (неконтролируемое и неизвестного размера) записей типо b.domain.com, которые есть ИСКЛЮЧИТЕЛЬНО на dns-out и которых нет и не может быть на dns-in. И нужно, чтобы все клиенты во внутренней сети тем не менее получали IP для таких вот b.domain.com, причём обращаясь за этим IP именно к dns-in! Я умею управлять видимостью целых зон как угодно, умею создавать разные зоны для разных подсетей - это тут НЕ поможет. Задача в принципе не решаема в рамках целых зон - необходимо управлять отдельными записями и их видимостью.

[Karl500]

А ежели эти самые b.domain.com "оформить" в виде подзон, а на них уже настроить видимость? Правда, если их очень много - наверное будет неудобно.

[Malamut]

Ну да, это единственное известное мне решение, которое не совсем уж через одно место. Только в рамках вышеприведённой модели не b. надо оформлять в виде подзон, а a., т.е. те, которые должны отличаться от корневого сервера зоны на локальном DNS-сервере.

Однако всё же интересует принципиальная возможность организации механизма, при котором клиент запрашивает резолв у сервера, сервер лезет в свою зону и ищет в ней запись. Если находит - то возвращает клиенту. А вот если не находит - то не посылает unknown host ответ, а лезет в свою очередь за резолвом на другой DNS и возвращает клиенту уже его ответ. И всё это в рамках одной зоны domain.com безо всяких подзон. По дефолту если зона присутствует на  DNS сервере, то он уже никогда не полезет на другие DNS за резолвом имён из этой зоны, а будет опираться только на свои записи в этой зоне. Мне интересно как поменять такой порядок и заставить DNS лазить за резолвом отсутствующих в его зоне имён на другой сервер, при этом с присутствующими работая как обычно.

[Karl500]

В рамках одной зоны, кмк, такого не бывает...
(уточню) Т.е., насколько мне известно, если сервер ответственен за зону, то априори считается, что у него вся информация об этой зоне. Следовательно, и лазить никуда ему не надо, и не будет он отсылать на другой сервер клиента, если у него нет какой-то записи.

Написал - и подумал: а есть ведь механизм сплит-зон, правда, я это использовал только для обратной зоны, и не очень представляю, можно ли это использовать для прямой.

Вот, например: http://thelazyadmin.com/blogs/thelazyadmin/archive/2005/03/24/DNS-Tips-_2300_8-_2D00_-Split-DNS.aspx

[Malamut]

Ну теоретически это совершенно прозрачный и элементарный механизм. Так что почему бы его не реализовывать DNS серверу - непонятно. Мало того, как мне кажется - это очень востребованный по сути механизм. Ибо гораздо проще хранить на локальном DNS записи только для тех имён, IP у которых внутри сетки отличается от записанного на корневом сервере IP. А не всю зону целиком с некоторыми переписанными полями. А вот с практическим вопросом я и обратился - сам, как можно понять, тоже не знаю ничего по поводу такой настройки того же бинда.

[StribogB]

Вообще то, может я чего то не понимаю поправите меня. Но если у нас в нутри сети есть машина с доменным именем, vasya.pupkin.com и у него айпишник 192.168.0.1, а с наружи к нему обращаются по другому, то в нутри сети Домен знает, что имени vasya.pupkin.com есть 192.168.0.1. И тогда ему не надо лезть к выше стоящему серверу для поиска его. Он сразу локальную машину отправит на этот комп.

[censor]

http://radmin.net.ua/BIND9x.html
в самом начале описано как разнести зоны для внешней сети и для внутренней.

http://www.opennet.ru/tips/info/2349.shtml
а тут описано как прикрутить dhcp к bind

прверено работает, только в некоторых местах придется отсупить от предложенной схемы действий, но направление задано правильно.

[Malamut]

Блин, ну что ж вы мне так упорно пытаетесь предложить сделать две разные зоны для разных подсетей? Я не имею возможности так сделать. Мне нужна для внутренней подсети не отдельная зона, а как бы маска, накладывающаяся на зону для внешней подсети, которая перезаписывает только несколько записей, всё остальное оставляя нетронутым.
Я ж говорю, с разделёнными зонами если запись b.domain.com есть во внешней зоне, но нету во внутренней, то она изнутри и не будет видна. А мне нужно, чтобы она была видна в этом случае и ссылалась на IP, прописанный во внешней зоне.

[censor]

Мне нужна для внутренней подсети не отдельная зона, а как бы маска, накладывающаяся на зону для внешней подсети, которая перезаписывает только несколько записей, всё остальное оставляя нетронутым.

так деление на внутренню и внешнюю подсеть это самое и есть, добавь в конфиг внутренней сети CNAME на внешние хосты, а те что надо изменить пропиши через A запись.

[blackjack]

может это подойдет?
http://wiki.izhnet.org/pages/viewpage.action?pageId=5210143