V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mmixxia
V2EX  ›  宽带症候群

公司内部的 DNS 服务器要怎么弄,外网有域名,想要内网自动解析到内网的机器上

  •  
  •   mmixxia · 295 天前 · 3532 次点击
    这是一个创建于 295 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题,新手小白求请教
    38 条回复    2024-01-30 13:08:18 +08:00
    lowell
        1
    lowell  
       295 天前
    内网部一个 dns 服务器,内网有的域名就解析到内网 ip 。
    内网机器获取 ip 的时候,dhcp 可以配一个 dns 服务器,配置这个内网的 dns 服务器。
    f6x
        2
    f6x  
       295 天前
    强制? 建议?
    办公电脑是 dhcp 还是固定 IP?
    能控制到大家的 DNS 配置么?
    mmixxia
        3
    mmixxia  
    OP
       295 天前
    @f6x 是 dhcp ,DNS 可以控制的
    Puteulanus
        4
    Puteulanus  
       295 天前
    我们之前 Windows 上用的 https://www.appinn.com/acrylic ,支持通配符
    虽然是个挺古老的东西了不过还算好用
    mmixxia
        5
    mmixxia  
    OP
       295 天前
    @lowell 非常感谢~ dns 服务器用什么软硬件去部署会比较好呢。如果可以解析特定的本地域名,其他请求转发到上层 DNS 服务器就可以满足要求
    mmixxia
        6
    mmixxia  
    OP
       295 天前
    @Puteulanus 可以的,这个看起来也非常不错,就是我们想部署在一个单独的硬件/路由器上统一管理。
    spediacn
        7
    spediacn  
       295 天前
    我们有 5000 多台内网机,分了几百个网段,启用了 https 访问内部系统,全靠这个 DNS 了,其实也就是配置了一个简单的 bind9 ,用了两台异地服务器来做。
    另外,如果你们内网不允许连接互联网,且要部署应用系统且有安全检测的话,强烈建议再配一个基于卫星授时的时间服务器,淘宝不贵,几百几千的都可以。
    defunct9
        8
    defunct9  
       295 天前
    dnsmasq
    Puteulanus
        9
    Puteulanus  
       295 天前
    @mmixxia 那看看 Adguard Home 吧,openwrt 、或者能跑 docker 的机器都能跑,网页配置,挺简单的

    fxxkgw
        10
    fxxkgw  
       295 天前 via Android
    bind 服务+bgp
    lowell
        11
    lowell  
       295 天前
    @mmixxia 量不大用 bind 就够用了,bind9 性能还不错。
    lowell
        12
    lowell  
       295 天前
    @mmixxia 内网域名配一下权威区(type master),然后配置一个全局转发就行了。
    mmixxia
        13
    mmixxia  
    OP
       295 天前
    @spediacn 听起来就好牛,,bind9 记下了
    mmixxia
        14
    mmixxia  
    OP
       295 天前
    @Puteulanus 好的呢,我也试试这个~
    mmixxia
        15
    mmixxia  
    OP
       295 天前
    @fxxkgw bind +1
    mmixxia
        16
    mmixxia  
    OP
       295 天前
    @lowell 好的,我去看看 bind9 这个,谢谢大佬
    echo1937
        17
    echo1937  
       295 天前 via iPhone
    新手小白建议 windows server 的 dns 服务器
    Tumblr
        18
    Tumblr  
       295 天前
    鉴于小白,不建议折腾*nix ,可以直接用 Windows Server 自己的 DNS:
    https://learn.microsoft.com/en-us/windows-server/networking/dns/quickstart-install-configure-dns-server?tabs=powershell
    paranoiagu
        19
    paranoiagu  
       295 天前 via Android
    Docker 部署一个 dnsmasq 不就行了么
    Andim
        20
    Andim  
       295 天前
    unbound 也是可以的,有个 DNS 根服务器运行的就是他
    如果内网机器不是很多就几百台 Pi-hole,也是可以的这个核心是 dnsmasq, 你甚至不需要服务器相关的知识也能用
    用 docker 或者 podman


    podman run -d \
    --name pihole \
    --net=host\
    --cap-add=CAP_NET_BIND_SERVICE\
    --cap-add=CAP_SYS_NICE\
    --cap-add=CAP_CHOWN\
    -e TZ='Asia/Taipei'\
    -e WEB_PORT=6800\
    -e WEBPASSWORD='password'\
    -e FTLCONF_LOCAL_IPV4=服务器 IP \
    -e INTERFACE=ens192\
    -e DNSMASQ_LISTENING=all\
    -e PIHOLE_DNS_='223.5.5.5'\
    -e FTLCONF_BLOCKINGMODE=NXDOMAIN\
    -v pihole:/etc/pihole:z \
    -v dnsmasq:/etc/dnsmasq.d:z \
    pihole/pihole
    binsys
        21
    binsys  
       295 天前
    我们这,因为历史原因,没内网 DNS ,我们的校园网设备都是公网 DNS ,所以我的解决方案就是利用出口的 panabit 流控设备的 DNS 管控功能,所有想解析到内网 IP 的域名直接把域名和 IP 填写上。

    原理就是在出口设备上做 DNS 污染(这个词出现在正面场合不容易吧)...

    所有经过出口设备的 DNS QUERY 请求,当命中域名时,会被拦截并返回我设置的 IP 。
    Lentin
        22
    Lentin  
       295 天前
    企业的话 防火墙应该就有这种功能吧……
    fsdrw08
        23
    fsdrw08  
       295 天前 via Android
    可以考虑 consul ,我现在搭的环境用 consul 做 DNS+服务发现,好处是轻量,有 ui ,有 API ,有 agent 模式用于自动更新服务器 DNS IP ,生态比较好(有 Terraform 模块和 ansible 模块)
    或者 freeipa ,这个的好处是有 api 支持更新 DNS 记录,而且自带网页 ui ,生态还行(有 Terraform 模块和 ansible 模块)
    再者有 powerDNS ,这个需要依赖数据库,没有原生 ui ,但有 API, ui 可以用第三方的,例如 powerDNSadmin ,生态一般(有 Terraform 模块和 ansible 模块,非官方的)
    还有 Technitium DNS, 自带 ui, 有 API ,但生态比较差(没有有 Terraform 模块和 ansible 模块)
    winterx
        24
    winterx  
       295 天前
    正常企业应该会有 AD 域控,AD 依赖 DNS 运行,问题自然就解决了
    剩下只是用哪个 DNS Server 的问题
    ac169
        25
    ac169  
       295 天前
    根据 22# 先看现有设备是否支持 DNS 代理和 IP HOST 功能, 如果支持直接设置根本就不用单独部署 DNS.

    如果没有,可以同 8# 19# 讲的那样部署一个 dnsmasq 优势功能丰富(集成 DNS + DHCPv4 + DHCPv6 + RA 服务),部署简单。

    bind 这类软件个人觉得更适合域名服务商做解析服务,dnsmasq 更适合请求居多的上网环境!
    davidyin
        26
    davidyin  
       295 天前
    域名直接指向内网 IP
    cslive
        27
    cslive  
       295 天前
    dns 劫持,把你想要的域名劫持到内网里
    body007
        28
    body007  
       295 天前
    如果不介意,可以用这个域名 https://nip.io/ ,随你想解析到啥 IP ,就是不知道你能不能接受这个域名。
    username1919810
        29
    username1919810  
       295 天前
    NAT Loopback ?
    lcy630409
        30
    lcy630409  
       295 天前
    楼上一堆 别人小白一个 推荐 windows 和 dnsmasq 都干啥呢
    新手 无脑 Adguard Home ,图形化操作,安装运行就行了
    656711352
        31
    656711352  
       294 天前
    doh dot 的话 就无效了,手机也麻烦
    建议统一落地页,落地页判断连通性,区分优先级
    xcodeghost
        32
    xcodeghost  
       294 天前
    搞那么复杂干嘛,直接 DNS 域名解析到内部 IP 就可以了。
    limaofeng
        33
    limaofeng  
       294 天前   ❤️ 2
    很多路由器,自带 DNS Server 。 开启就可以用了。这应该不是最简单的吗?
    sketcherly
        34
    sketcherly  
       294 天前
    我的 AllInBoom 用的 CoreDNS ,部署起来也挺简单的。部署完配置好一名指向内网 ip ,然后把路由器的 DHCP 的 DNS 改成 CoreDNS 的 ip 就可以用了。
    如果你不明白我在说啥,建议采取楼上建议看下你们路由器是不是支持 DNS server 或者换个支持 DNS server 的路由器就可以了
    yuchenr
        35
    yuchenr  
       294 天前
    公司,内部没有 ad 吗?
    GGA
        36
    GGA  
       294 天前
    如果内网 dns 是跑在 ad 域控中的话,配置 dns 转发器就行了
    dyv9
        37
    dyv9  
       294 天前 via Android
    @fxxkgw 万能的开发板店家花几百就能搞定,对吧
    xipiping
        38
    xipiping  
       294 天前
    内网使用的话,用内部局域网地址就行。有域名你直接去管理后台,解析就可以使用了。
    如果要使用外网,动态 ip 你去路由器后台添加 ddns 。

    国内自建公开 dns 违法,需要经营许可证,不建议用国内网络建设。如果非要自己搭建长期使用,建议用国外云服务器就行。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4860 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 126ms · UTC 01:10 · PVG 09:10 · LAX 17:10 · JFK 20:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.