特定のDNSサーバーを除くすべてのDNSサーバーをブロックする（ホワイトリスト）

Question

私は現在Ciscoルーターを持っていますが、Google DNSサーバーのみを許可し、クライアントで構成されている場合は他のすべてのサーバーをブロックするACLを構成したいと思います。

私は次のACLを持っていますが、正しく適用されておらず、Googleの代わりに他のDNSサーバーを使用できます。

ACLS

access-list 101 permit udp any Host 8.8.8.8 eq 53 access-list 101 permit udp any Host 8.8.4.4 eq 53 access-list 101 deny udp any any eq 53 access-list 101 permit ip any any

足りないものはありますか？

前もって感謝します：）

Dmitry Zayats · Answer

ACLを定義しましたが、ACLを適用したインターフェイスは表示されません。インターフェイスに適用しないACLは効果がありません。参照する

https://www.Cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html#applyacls

https://www.Cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configuration/15-sy/sec-data-acl-15-sy-book/ sec-create-ip-apply.html＃GUID-30BB74FC-ABE4-43B6-9D49-7A78CFF024B9

基本的にあなたがしたい

interface ethernet 0 ip access-group 101 out

イーサネット0をインターフェイスのタイプと番号に置き換えます。

Ron Maupin · Answer

アクセスリストは、LANインターフェイスでインバウンドに適用する必要があります。これは拡張ACLであり、可能な限りソースの近くに適用する必要があります。次のようになります。

interface GigabitEthernet0/0 description LAN interface ip access-group 101 in

DNSはTCPもサポートする必要があるのに対し、UDPを介してDNSのみをブロックしているという問題もあります。 RFC 5966、DNSトランスポートオーバーTCP-実装要件 は、DNSが必要であるという事実を明確にしますTCPをサポート：

したがって、このドキュメントは、TCPのサポートが今後、完全なDNSプロトコル実装の必須部分になるようにコアDNSプロトコル仕様を更新します。

あなたはおそらくこのようなものが欲しいでしょう：

access-list 101 permit udp any Host 8.8.8.8 eq 53 access-list 101 permit udp any Host 8.8.4.4 eq 53 access-list 101 deny udp any any eq 53 access-list 101 permit tcp any Host 8.8.8.8 eq 53 access-list 101 permit tcp any Host 8.8.4.4 eq 53 access-list 101 deny tcp any any eq 53 access-list 101 permit ip any any

上記のACLをLANからルーターにインバウンドで配置すると、DNS要求が8.8.8.8または8.8.4.4宛てでない限り、ルーターに入るのをブロックします。