一些机构想隐藏dns名,不让外界知道。许多专家认为隐藏dns名没有什么价值,但是,如果站点或企业的政策强制要求隐藏域名,它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为,如果隐藏了你的dns名,在攻击者打入你的防火墙时,会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话,不妨在LAN上“ping”一下子网广播地址,然后再执行“arp -a”。还需要说明的是,隐藏dns中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。
这种方法是许多方法中的一个,它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实:即一台机器上的dns客户机不必与在同一台机器上的dns服务器对话。换句话说,正是由于在一台机器上有一个dns服务器,因此,将这部机器的dns客户机活动重定向到另一台机器上的dns服务器没有任何不妥(并且经常有好处)。
首先,你在可以与外部世界通信的桥头堡主机上建立dns服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上,这台服务器所了解的就是你想让外部世界所了解的:你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。
然后,在内部机器上建立一台dns服务器。这台服务器也宣布对你的域名具有权力;与公共服务器不同,这台服务器“讲的是真话”。它是你的“正常”的命名服务器,你可以在这台服务器中放入你所有的“正常”dns名。你再设置这台服务器,使它可以将它不能解决的查询转发到公共服务器(例如,使用Unix机上的/etc/named.boot中的“转发器”行(forwarder line))。