我们在防火墙后面有一个只有SMTP的邮件服务器,它有一个公共A邮件记录..访问这个邮件服务器的唯一方法是从同一防火墙后面的另一台服务器.我们不运行自己的私有DNS服务器.
将私有IP地址用作公共DNS服务器中的A记录是一个好主意 – 或者最好将这些服务器记录保存在每个服务器本地主机文件中?
解决方法
有些人会说公共DNS记录不应该披露私有IP地址……我们的想法是,你可能会为潜在的攻击者提供利用私有系统可能需要的一些信息.
就个人而言,我认为混淆是一种糟糕的安全形式,特别是当我们谈论IP地址时,因为一般来说它们很容易被猜到,所以我不认为这是一种现实的安全妥协.
这里更重要的考虑是确保您的公共用户不会将此DNS记录作为托管应用程序的常规公共服务的一部分.即:外部DNS查找以某种方式开始解析他们无法达到的地址.
除此之外,我认为没有根本原因将私有地址A记录放入公共空间是一个问题….尤其是当你没有备用DNS服务器来托管它们时.
如果您决定将此记录放入公共DNS空间,则可以考虑在同一服务器上创建一个单独的区域来保存所有“私有”记录.这将使他们更加清楚,他们打算私下……但是对于一个A记录,我可能不会打扰.