Acces intern la serviciile publicate: Direct vs Bouncing Off Firewall

Avem, așa cum este obișnuit, două infrastructuri DNS, una pentru rezoluție internă și alta, fără redirecționare, server autorizat pentru domeniul nostru public.

Această întrebare este despre meritele comparative a două abordări diferite pentru gazdele noastre interne de a accesa serviciile noastre publice:

• Unele servicii au fost configurate astfel încât gazdelor interne să li se dea o adresă internă pentru serviciu (adică o rută directă către server din DMZ). Cu alte cuvinte, cele două infrastructuri DNS indică adrese IP complet diferite pentru același nume de server.
• Alte servicii au fost configurate pentru a respinge firewall-ul, care rescrie cererea pentru a arăta ca și cum vine din exterior (firewall-ul nostru numește acest lucru „Full NAT”). În acest scenariu, nu există nicio înregistrare pentru server în DNS-ul intern și se bazează pe DNS-ul public pentru a rezolva adresa externă a serviciului.

Vreau să încerc să standardizez o abordare sau alta. Care e mai bun?