为了我的本地网络的目的,并且为了方便起见,我专用了一个子域来指向我的本地反向代理。
A
记录*.internal
指向192.168.0.101
虽然我发现,只有几个浏览器可以正确解决它,即 Windows 10 中的 Edge、iPhone 12 上的 Safari 和 DuckDuckGo。
我在所有设备中使用 1.1.1.1 和 1.0.0.1 DNS 服务器。
现在我进一步调查,并针对我的子域测试了多个公共 DNS 服务器,但失败了。
测试是使用下面的 dig 命令在这些提供商的服务器上完成的:
Google、Control D、Quad9、OpenDNS、Cloudflare、CleanBrowsing、备用 DNS 和 AdGuard DNS。
dig test.internal.example.top @8.8.8.8
他们都超时了
;; communications error to 8.8.8.8#53: timed out
; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>> test.internal.example.top @8.8.8.8
;; global options: +cmd
;; no servers could be reached
我使用 dnschecker 网站成功解析了服务器 1.1.1.1 和 8.8.8.8 上的子域。这很可能不是公共 DNS 服务器的问题。
我预计这是某种安全功能的问题,但我无法确定它。
我不想设置自己的 DNS 服务器。
如果您计划拥有带有 DNS 的专用网络,您应该配置自己的内部 DNS 服务器来提供您喜欢的可见性。
出于显而易见的原因,浏览器和 DNS 服务器都已采取措施限制使用 PNA 地址的公共域。
最基本的是,这可能对您很有用...但作为公共域,让 DNS 条目指向某人的专用网络地址空间是不好的。它可能会让那些进入您的 DNS 域的人感到困惑,不良行为者可以利用它来设置各种创造性的攻击。
这有很多背景,它并不能解决所有安全问题,但我希望简而言之,这是有意义的。