Запрет обхода DNS

[Infnd]

Добрый день, если кто сталкивался поделитесь опытом настройки маршрутизатора на запрет обхода DNS.


Спасибо.

[Garri]

Опишите более детально.

[Infnd]

В локальной сети есть собственный DNS, необходимо чтоб все клиенты обращались только к нему, а маршрутизатор блокировал DNS запросы не от локального сервера. Собственно если клиент перебьет адрес локального DNS на 8.8.8.8, то он пойдет без ограничений на все сайты.

[Garri]

Код: Выделить всё


object-group service dns_port
  port-range 53
exit
object-group service DoT_port
  port-range 853
exit
object-group network local_net
  ip prefix сетка
exit
object-group network dns_ext
  description "extDNS_servers"
  ip address-range ip-адрес ДНС-сервера1
  ip address-range ip-адрес ДНС-сервера2
  ip address-range ip-адрес ДНС-сервера3
exit
object-group network dns_local
  description "localDNS_server"
  ip address-range ip-адрес локального ДНС-сервера
exit

security zone-pair LAN WAN
  rule 1
    action permit
    match protocol udp
    match source-address dns_local
    match destination-address dns_ext
    match source-port any
    match destination-port dns_port
    enable
  exit
  rule 10
    action deny
    match protocol udp
    match source-address local_net
    match destination-address any
    match source-port any
    match destination-port dns_port
    enable
  exit
  rule 11
    action deny
    match protocol tcp
    match source-address local_net
    match destination-address any
    match source-port any
    match destination-port dns_port
    enable
  exit
  rule 12
    action deny
    match protocol tcp
    match source-address local_net
    match destination-address any
    match source-port any
    match destination-port DoT_port
    enable
  exit
exit



[Infnd]

Спасибо, помогло.

только добавил:

rule 2
action permit
match protocol tcp
match source-address dns_local
match destination-address dns_ext
match source-port any
match destination-port dns_port
enable

без него не работало.