[DNS] Reverse Lookup Zones

Het is maar of je hebt ingesteld binnen DNS wie/wat voor updates mogen doen of dat je het voor de clients registreert, bekijk de instellingen van de zones eens door ze naast elkaar te zetten

Beetje vreemd dat je het aan ons vraagt.. zoiets zoek je zelf toch uit?

Beide zones kunnen kloppen, het is maar wat het beleid is binnen het bedrijf toch? Zelf doe ik alles dynamisch laten updaten en alle statische en dynamische adressen staan in de forward en reverse zone, maar dit is niet noodzakelijk voor de werking van je servers en clients...

Het is gewoon heel simpel... De adressen die dynamisch worden vergeven zitten in een bepaalde IP range. Mocht dat niet zo zijn dan moet je heel hard aan je hoofd krabben of het wel klopt en of het niet anders kan.

Zo iets hou je ook gescheiden dmv van routeringen etc.

Verwijderd schreef op maandag 30 november 2009 @ 12:03:
Het is gewoon heel simpel... De adressen die dynamisch worden vergeven zitten in een bepaalde IP range. Mocht dat niet zo zijn dan moet je heel hard aan je hoofd krabben of het wel klopt en of het niet anders kan.

Zo iets hou je ook gescheiden dmv van routeringen etc.

Denk dat het echt gaat om de instellingen van de zone, wel of niet dynamisch adressen laten registreren. Dat je bepaalde reeksen hebt voor dynamisch of vast (Clients of servers dus) is goed, je kunt dan inderdaad scheidingen maken tussen de ip-reeksen (Vlans)

fRiEtJeSaTe schreef op maandag 30 november 2009 @ 12:14:
[...]

Nadeel van de boel overnemen; de rotzooi van een ander.
Van DNS heb ik geen kaas gegeten. Vandaar de vraag. IP-range staat op de planning, is nu 192.168.0.0, erg handig i.c.m. vpn

De instellingen heb ik een tijd terug nagekeken, en allebei op secure updates gezet.

Waarom zou het een probleem zijn om een ip-range 192.168.0.0 te gebruiken internet i.c.m VPN, je kunt voor je VPN range toch wel iets anders nemen (192.168.240.0 oid)?

fRiEtJeSaTe schreef op maandag 30 november 2009 @ 12:21:
[...]

Fred, zonder teveel in detail te treden. Probleem is als volgt:
Als de client ook interne ip-reeks 192.168.0.0 heeft (meestal), krijgt de Checkpoint client geen verbinding omdat hij de router niet verlaat. Die denkt immers dat hij het thuisnetwerk niet hoeft te verlaten.

Uhmm... Je Checkpoint client maakt verbinding met een publiek ip-adres en krijgt dan een verbinding waarna de tunneladapter een ip-adres krijgt wat je volgens mij zelf kan instellen, beheer je de Checkpoint Firewall/server niet zelf?

fRiEtJeSaTe schreef op maandag 30 november 2009 @ 12:30:
[...]

Nee, dat doet KPN. Heb hier lang over gediscussierd en getest met KPN en volgens hen is het niet mogelijk.
Zodra ik thuis een ip-range kies buiten de bedrijfsrange is er niets aan de hand.

Typisch eigenlijk, voor hun is het waarschijnlijk een kleine aanpassing en jij moet een interne ip-omnummering gaan doen Bij mijn vorige werkgever hadden we ook Checkpoint en had ik thuis een 192.168.0.0 of een 10.10.0.0 netwerk en dat was geen probleem, het kan dus wel...

fRiEtJeSaTe schreef op maandag 30 november 2009 @ 12:49:
[...]

Zullen vast wel opties voor zijn ja. Zit ook een Office mode op, die wilde ze niet aanzetten voor me.
Hoewel dat de oplossing had kunnen zijn. Maar ja, breng dat zo'n helpdeskpipo maar eens aan z'n verstand.
Mag binnenkort experimenten met een PIX dus misschien is het niet nodig

Ik heb toen volgens mij ook Office mode gebruikt inderdaad, werkte prima. Maar als een helpdesk iemand het niet wil doen, dan bel je de service/accountmanager toch en dan kan die het gaan regelen?

fRiEtJeSaTe schreef op maandag 30 november 2009 @ 12:14:
Nadeel van de boel overnemen; de rotzooi van een ander.
Van DNS heb ik geen kaas gegeten. Vandaar de vraag. IP-range staat op de planning, is nu 192.168.0.0, erg handig i.c.m. vpn

Dan is het heel simpel: zet thuis een DNS servertje op en ga daarmee experimenteren. En dan zeker icm DHCP.

Aan te raden is ook het boekwerk DNS and BIND, Fourth Edition te lezen voor een gedegen achtergrond info.

De instellingen heb ik een tijd terug nagekeken, en allebei op secure updates gezet. Betekent dit dat alle dynamische adressen uit de Reverse Lookup Zone gegooid kunnen worden? Of zitten hier risico's aan?

Een update is niets meer dan het aanpassen van de zones. Lijkt me niet dat dan adressen moet gaan weghalen.

Maar je moet je netwerk anders gaan indelen. Bijvoorbeeld dat alle servers op 172.168.0.1 t/m 254 zitten en dat je in een andere subnet bij bijvoorbeeld 172.168.1.1 t/m 254 de clients erop gooit maar ondertussen wel een routering zo aanmaakt dat wanneer er een aanspraak wordt gedaan op bepaalde servers zoals DNS en AD dat deze ook bereikt kan worden en visa versa.

Dit is maar slechts het begin. Het wordt complexer als je ook nog webservers heb draaien die in een DMZ omgeving moeten draaien. Want deze moeten wel afgeschermd zijn van de binnenkant maar wel beschermt maar toegankelijk zijn aan de buitenkant.

[ Voor 8% gewijzigd door Verwijderd op 30-11-2009 22:26 ]