外部 dns 到内部 dns

Question

我的网络中有一个本地 DNS 服务器，并为我的一些内部站点（即 app1.domain.com、app2.domain.com）设置了一些 A Name 记录，并且 dns 在内部解析并加载站点就好了。

现在我也有一个 Godaddy 域，并希望允许对其中一些站点进行外部访问。我在 Godaddy 中创建了相同的 A Name 记录，并将它们指向我的单个 WAN IP。在我将路由器上的所有传入端口 80 流量直接转发到我的内部 Web 服务器的 IP 之前，就像临时解决方案一样，它运行良好。

现在我有第二个 Web 服务器，我需要在不同的内部服务器上公开它。因此，对于端口 80 流量，当客户端尝试从外部连接时，我需要将 app1 发送到我的内部 ip 10.1.1.23 和 app2 到 10.1.1.24。

所以我修改了我的路由器，将外部端口 80 流量转发到端口 53 上的 10.1.1.11（我的内部 DNS 服务器），用于 tcp/udp。DNS 服务器是一台 Windows Server 2008 R2 机器。看起来防火墙例外也被设置为允许端口 53 上的传入流量，但是每当我尝试从外部客户端访问该站点时，没有任何负载。我知道 Godaddy 正在将流量转发到我的 WAN，因为我可以执行解析到我的 WAN IP 的 tracert。

我究竟做错了什么？

Answer 1

我将继续并在我的回答中做出一些假设。如果我错了纠正我。

1. 您只有 1 个公共 IP，它是分配给路由器 WAN 接口的那个。

2. 您的路由器是 SOHO 型号，只能在其 WAN 接口上分配一个 IP。即如果您从您的 ISP 购买了额外的静态 IP，您需要更换您的路由器来处理这个问题。

我的网络中有一个本地 DNS 服务器，并为我的一些内部站点（即 app1.domain.com、app2.domain.com）设置了一些 A Name 记录，并且 dns 在内部解析并加载站点就好了。

我假设您的内部 DNS 服务器配置为返回服务器的 RFC1918 私有地址。这使得该服务器上的 DNS 区域对 LAN 外的人无用。如果他们从 Internet 上收到 10.1.1.x 的响应，则将其丢弃。

现在我也有一个 Godaddy 域，并希望允许对其中一些站点进行外部访问。我在 Godaddy 中创建了相同的 A Name 记录，并将它们指向我的单个 WAN IP。在我将路由器上的所有传入端口 80 流量直接转发到我的内部 Web 服务器的 IP 之前，就像临时解决方案一样，它运行良好。

好的。这会起作用，但正如您所见，它的可扩展性不是很强。

现在我有第二个 Web 服务器，我需要在不同的内部服务器上公开它。因此，对于端口 80 流量，当客户端尝试从外部连接时，我需要将 app1 发送到我的内部 ip 10.1.1.23 和 app2 到 10.1.1.24。

所以我修改了我的路由器，将外部端口 80 流量转发到端口 53 上的 10.1.1.11（我的内部 DNS 服务器），用于 tcp/udp。DNS 服务器是一台 Windows Server 2008 R2 机器。看起来防火墙例外也被设置为允许端口 53 上的传入流量，但是每当我尝试从外部客户端访问该站点时，没有任何负载。我知道 Godaddy 正在将流量转发到我的 WAN，因为我可以执行解析到我的 WAN IP 的 tracert。

这就是你变得奇怪的地方，我的朋友。真的，真的很奇怪。您将 HTTP 请求转发到 DNS 服务器并转换端口。这就像把一封写给美国某人的英文信，从邮局拿出来，丢到缅甸某人的邮箱里，然后想知道为什么你还没有收到回复。

HTTP 和 DNS 是完全不同的协议。HTTP 为您的网页提供服务。DNS 将完全限定的名称转换为 IP 地址。它们不可互换。DNS 服务器将查看您转发给它的 HTTP 数据包并说“搞砸这些东西，不知道它在说什么”，然后将其扔进垃圾箱，就像您的新笔友一样缅甸。

好的，既然你知道自己哪里出错了，你能做些什么呢？

1. 获取额外的公共 IP 并将其分配给您的路由器。这假设您的路由器可以处理此问题。如果不能，您可能需要换一个新的，或者使用选项 #2。如果您获得另一个 IP 和一个可以处理它的路由器，您只需设置 Go Daddy 为您的第二个服务器使用第二个 IP，然后将新 IP 上的端口 80 请求转发到新服务器，就像您在第一个服务器上所做的一样IP 和您的第一台服务器。这将要求您为每个添加的新服务器拥有一个公共 IP。

2. 设置反向代理并将所有内容指向您的一个 IP 地址。为此，您可以使用 apache 的 mod_proxy 或 IIS7 的 ARR 之类的东西。你会告诉转到爸爸的DNS将所有流量为所有您在外部网站到一个IP，你已经有了。在您的路由器上，您会将端口 80 上的请求转发到充当反向代理的新服务器。该服务器将被配置为类似于入站连接的“代理”。您可以将该服务器配置为根据请求的主机名将所有请求转发到正确的服务器。