Элтекс

производство оборудования для телекоммуникаций
http://forum.eltex-co.ru/

Запрет обхода DNS

http://forum.eltex-co.ru/viewtopic.php?f=10&t=8831

Страница 1 из 1

Запрет обхода DNS

Добавлено: 29 янв 2019 13:00
Infnd
Добрый день, если кто сталкивался поделитесь опытом настройки маршрутизатора на запрет обхода DNS.


Спасибо.

Re: Запрет обхода DNS

Добавлено: 29 янв 2019 20:16
Garri
Опишите более детально.

Re: Запрет обхода DNS

Добавлено: 30 янв 2019 11:12
Infnd
В локальной сети есть собственный DNS, необходимо чтоб все клиенты обращались только к нему, а маршрутизатор блокировал DNS запросы не от локального сервера. Собственно если клиент перебьет адрес локального DNS на 8.8.8.8, то он пойдет без ограничений на все сайты.

Re: Запрет обхода DNS

Добавлено: 30 янв 2019 20:13
Garri

Код: Выделить всё


object-group service dns_port
  port-range 53
exit
object-group service DoT_port
  port-range 853
exit
object-group network local_net
  ip prefix сетка
exit
object-group network dns_ext
  description "extDNS_servers"
  ip address-range ip-адрес ДНС-сервера1
  ip address-range ip-адрес ДНС-сервера2
  ip address-range ip-адрес ДНС-сервера3
exit
object-group network dns_local
  description "localDNS_server"
  ip address-range ip-адрес локального ДНС-сервера
exit

security zone-pair LAN WAN
  rule 1
    action permit
    match protocol udp
    match source-address dns_local
    match destination-address dns_ext
    match source-port any
    match destination-port dns_port
    enable
  exit
  rule 10
    action deny
    match protocol udp
    match source-address local_net
    match destination-address any
    match source-port any
    match destination-port dns_port
    enable
  exit
  rule 11
    action deny
    match protocol tcp
    match source-address local_net
    match destination-address any
    match source-port any
    match destination-port dns_port
    enable
  exit
  rule 12
    action deny
    match protocol tcp
    match source-address local_net
    match destination-address any
    match source-port any
    match destination-port DoT_port
    enable
  exit
exit

Re: Запрет обхода DNS

Добавлено: 31 янв 2019 18:16
Infnd
Спасибо, помогло.

только добавил:

rule 2
action permit
match protocol tcp
match source-address dns_local
match destination-address dns_ext
match source-port any
match destination-port dns_port
enable

без него не работало.
Часовой пояс: UTC+07:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/