Split-Horizon DNS ile İç ve Dış Erişimini Güvenli ve Hızlı Yönetmek​

Merhaba forumdaşlar! Küçük bir ofis/ev sunucusu ağında çalışırken, kritik servislerinizi hem iç ağa güvenli şekilde erişilebilir kılmak hem de internetten gelen trafiği güvenli tutmak istiyorsanız Split-Horizon DNS inanılmaz işe yarar. Bu yöntem, aynı alan adının iç ve dış isteklerine farklı yanıtlar döndürerek güvenliği ve performansı bir araya getirir. Aşağıda pratik bir yol haritası ve odağınıza göre nasıl uygulayabileceğinizi paylaşıyorum.

1. Giriş: Split-Horizon DNS nedir ve neden kullanılır?
   -Kısaca: İç ağdaki kullanıcılar için özel (genelde özel IP) yanıtlar, dışa açık kullanıcılar için ise genel (public IP) yanıtlar döndürür. Böylece iç servisler dışarıdan görünmez, iç trafiği de daha hızlı yönlendirilir.
   - Avantajlar: Güvenlik artışı (iç IPler dışa ifşa olmaz), kolay iç yönlendirme, tek alan adı ile iç-dış ayrı akış.
   
2. Mantık ve Mimari]: İki farklı görünüm (internal ve external) ile aynı alan adının farklı yanıtlar üretmesiyle çalışır. Temel hedefler:
   - İç ağ için özel IP’ler kullanılır (ör. admin.site.example => 192.168.1.10).
   - Dış ağ için genel IP’ler kullanılır (ör. admin.site.example => 203.0.113.42).
   - TTL ve önbellekleme kuralları dikkatle yönetilir, aksi halde eski yönlendirmeler cache’de kalabilir.
   
3. Mimarî Basamaklar: BIND9 View tabanlı yapı mı, yoksa alternatif DNS çözümleri mi kullanmalı?
   - En yaygın ve esnek çözüm: BIND9 ile iki view kullanımı.
   - Alternatifler: dnsmasq/Unbound kombinasyonları ya da bulut tabanlı split-horizon çözümleri.
   
4. Uygulama Adımları (Planlama)
   1) Hangi servisler için split-horizon kullanacağınıza karar verin (ör. admin panel, NAS paylaşımı, depo vs.).
   2) İç ağınızın IP aralığını ve dışarıya açmamak istediğiniz servisleri listeleyin.
   3) DNS adlandırmasını netleştirin: hangi alt alanlar iç/ağda hangi IP’ye çözülecek?
   4) DNS kayıtlarını iki görünümde yönetin (internal ve external).
   5) TTL değerlerini dikkatli belirleyin; sık güncellemeler için kısa TTL’ler, fakat genel performans için dengeli değerler seçin.
   6) İzleme ve test planı kurun: içten ve dıştan gelen trafiği farklı testlerle doğrulayın.
   
5. Örnek Konfigürasyon (BIND9)
   Aşağıda basit bir örnek ile iki view kullanımı gösterilmiştir. Bu, temel bir başlangıçtır; kendi ağınıza göre uyarlayın.
   
   
   Kod:

   // named.conf (kısa özeti)
   options {
       directory "/var/named";
       listen-on { any; };
       recursion yes;
   };
   
   view "internal" {
       match-clients { 192.168.1.0/24; 10.0.0.0/8; };
       zone "site.example" IN {
           type master;
           file "db.site.internal";
       };
   };
   
   view "external" {
       match-clients { any; };
       zone "site.example" IN {
           type master;
           file "db.site.external";
       };
   };
   
   // Veri dosyaları için basit örnekler:
   bind9/db.site.internal:
   $ORIGIN site.example.
   @ IN SOA ns.site.example. hostmaster.site.example. (
       2024060101 ; serial
       3600       ; refresh
       1800       ; retry
       604800     ; expire
       86400 )    ; minimum
   ;
   @ IN NS ns.site.example.
   ns  IN A  192.168.1.2
   admin IN A 192.168.1.10
   
   bind9/db.site.external:
   $ORIGIN site.example.
   @ IN SOA ns.site.example. hostmaster.site.example. (
       2024060102 ; serial
       3600       ; refresh
       1800       ; retry
       604800     ; expire
       86400 )     ; minimum
   ;
   @ IN NS ns.site.example.
   ns IN A 203.0.113.5
   admin IN A 203.0.113.5

   
   Not: Bu haliyle iki farklı görünüme sahip olan basit bir örnektir. Gerçek dünyada güvenlik politikaları, DNSSEC ve güvenli yönetim (yetki atama, loglama) ek adımlar olarak uygulanmalıdır.
   
6. Dikkat Edilecekler
   - İç ve dış yanıtlar arasındaki tutarlılığı koruyun; yanlış konfigürasyon iç ağa yönlendirme hatalarına yol açabilir.
   - TTL yönetimini iyi planlayın; sık değişiklikler için kısa TTL, normal akış için uzun TTL dengesi kurun.
   - Güvenlik: DNS sorgularını izleyin, hatta zorunlu DNSSEC kullanımı ile müdahaleyi zorlaştırın.
   - İzleme: İç ve dış yanıtları düzenli olarak test edin (dig @<dns>/ dig +trace, host-ara testleri).
   
7. Sonuç ve Faydalar]
   - İç ağda kritik servisler güvenli ve hızlı erişim sağlar.
   - Dış dünyadan gelen istekler için ise iç IP lerini saklayarak güvenlik riski azaltılır.
   - Yönetimi sadeleşir: Tek bir alan adı üzerinden iç-dış akışını kontrol etmek mümkün olur.
   
   Umarım bu yaklaşım sizin için de uygulanabilir ve faydalı olur. Konfigürasyonlarınızı paylaşın, karşılaştığınız zorlukları ve çözümlerinizi beraber tartışalım. İsterseniz kendi ağınıza özel basit bir planı da birlikte çıkarabiliriz.