私は現在Ciscoルーターを持っていますが、Google DNSサーバーのみを許可し、クライアントで構成されている場合は他のすべてのサーバーをブロックするACLを構成したいと思います。
私は次のACLを持っていますが、正しく適用されておらず、Googleの代わりに他のDNSサーバーを使用できます。
ACLS
access-list 101 permit udp any Host 8.8.8.8 eq 53
access-list 101 permit udp any Host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit ip any any
足りないものはありますか?
前もって感謝します :)
ACLを定義しましたが、ACLを適用したインターフェイスは表示されません。インターフェイスに適用しないACLは効果がありません。参照する
基本的にあなたがしたい
interface ethernet 0
ip access-group 101 out
イーサネット0をインターフェイスのタイプと番号に置き換えます。
アクセスリストは、LANインターフェイスでインバウンドに適用する必要があります。これは拡張ACLであり、可能な限りソースの近くに適用する必要があります。次のようになります。
interface GigabitEthernet0/0
description LAN interface
ip access-group 101 in
DNSはTCPもサポートする必要があるのに対し、UDPを介してDNSのみをブロックしているという問題もあります。 RFC 5966、DNSトランスポートオーバーTCP-実装要件 は、DNSが必要であるという事実を明確にしますTCPをサポート:
したがって、このドキュメントは、TCPのサポートが今後、完全なDNSプロトコル実装の必須部分になるようにコアDNSプロトコル仕様を更新します。
あなたはおそらくこのようなものが欲しいでしょう:
access-list 101 permit udp any Host 8.8.8.8 eq 53
access-list 101 permit udp any Host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit tcp any Host 8.8.8.8 eq 53
access-list 101 permit tcp any Host 8.8.4.4 eq 53
access-list 101 deny tcp any any eq 53
access-list 101 permit ip any any
上記のACLをLANからルーターにインバウンドで配置すると、DNS要求が8.8.8.8
または8.8.4.4
宛てでない限り、ルーターに入るのをブロックします。