在使用防火墙时怎样使用DNS呢？(2)

    最后，设置你所有的DNS客户机（例如，Unix机上的/etc/resolv.conf文件）使用内部服务器，这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。

    询问有关一台内部主机信息的内部客户机向内部服务器提出问题，并得到回答；询问有关一部外部主机信息的内部客户机向内部服务器查询，内部客户机再向公共服务器进行查询，公共服务器再向Internet查询，然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是，一台询问关于一台内部主机信息的外部客户机，只能从公共服务器上得到“限制性”的答案。
这种方式假定在这两台服务器之间有一个包过滤防火墙，这个防火墙允许服务器相互传递DNS，但除此之外，限制其它主机之间的DNS。

    这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”（address-to-name）的查找返回像“unknown.YOUR.DOMAIN”这样的信息，而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时，这种方法就不灵了。在交叉检查中，主机名要与它的地址匹配，地址也要与主机名匹配。