Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2049 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Using Internal DNS and Proxy

BarryG
I have a DNS server for my domain in the DMZ.
Due to vulnerabilites in BIND, I'd like to use ASL's DNS proxy (yes, I know it's running bind too) to answer public requests FOR THIS DOMAIN ONLY.

Right now, I have ASL's DNS proxy running, and forwarding to the DMZ server (10.0.0.1).

Is this correct, and how can I make it so ASL only answers for this domain? (Internal DNS must answer internal for any domain, so I cannot modify it.)

I know DJBDNS has an easy way to do this, but I don't know about Bind.

Thanks,
Barry


This thread was automatically locked due to age.
Parents
  • 0
    Hello barrygould,

    I'm afraid, it's not possible. The bind on ASL is conceived only as a forward and cache DNS proxy for the protected net. You have to use a dedicated DNS server, it will be also easier to administer it; and if you would like to protect it, let it in the DMZ  [;)]

    Greetings,
    --
    Dennis
  • 0 in reply to Dennis Koslowski
    Thanks, but I do have an internal DNS.

    It seems to be working. I had asked because I wasn't sure I was doing it right, and the docs are vague; they only mention external DNS servers.
  • 0 in reply to BarryG
    Again, you can't configure the ALS's bind besides of the WFE. Precisely spoken: you can edit the config files, but they will be overwritten, sooner or later. You could let the ASL's bind serve the external queries, but you can't restrict the ASL to answer only for your domain - the ASL' bind is a forwarding proxy... You have a choice between letting the ASL to serve all external queries (not advisably), or forwarding the external queries to DMZ DNS, which is much easier to maintain... 

    Greetings
    --
    Dennis
  • 0 in reply to Dennis Koslowski
    quote:
    Originally posted by Dennis Koslowski:
    Again, you can't configure the ALS's bind besides of the WFE. Precisely spoken: you can edit the config files, but they will be overwritten, sooner or later. You could let the ASL's bind serve the external queries, but you can't restrict the ASL to answer only for your domain - the ASL' bind is a forwarding proxy... You have a choice between letting the ASL to serve all external queries (not advisably), or forwarding the external queries to DMZ DNS, which is much easier to maintain... 

    Greetings
    --
    Dennis



    Please, can you tell me who will rewrite bind config files and when ?
Reply
  • 0 in reply to Dennis Koslowski
    quote:
    Originally posted by Dennis Koslowski:
    Again, you can't configure the ALS's bind besides of the WFE. Precisely spoken: you can edit the config files, but they will be overwritten, sooner or later. You could let the ASL's bind serve the external queries, but you can't restrict the ASL to answer only for your domain - the ASL' bind is a forwarding proxy... You have a choice between letting the ASL to serve all external queries (not advisably), or forwarding the external queries to DMZ DNS, which is much easier to maintain... 

    Greetings
    --
    Dennis



    Please, can you tell me who will rewrite bind config files and when ?
Children
Unfiltered HTML