web-dev-qa-db-ja.com

特定のDNSサーバーを除くすべてのDNSサーバーをブロックする(ホワイトリスト)

私は現在Ciscoルーターを持っていますが、Google DNSサーバーのみを許可し、クライアントで構成されている場合は他のすべてのサーバーをブロックするACLを構成したいと思います。

私は次のACLを持っていますが、正しく適用されておらず、Googleの代わりに他のDNSサーバーを使用できます。

ACLS

access-list 101 permit udp any Host 8.8.8.8 eq 53
access-list 101 permit udp any Host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit ip any any

足りないものはありますか?

前もって感謝します :)

1
Ryan Hawdon

ACLを定義しましたが、ACLを適用したインターフェイスは表示されません。インターフェイスに適用しないACLは効果がありません。参照する

https://www.Cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html#applyacls

https://www.Cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configuration/15-sy/sec-data-acl-15-sy-book/ sec-create-ip-apply.html#GUID-30BB74FC-ABE4-43B6-9D49-7A78CFF024B9

基本的にあなたがしたい

interface ethernet 0
 ip access-group 101 out

イーサネット0をインターフェイスのタイプと番号に置き換えます。

2
Dmitry Zayats

アクセスリストは、LANインターフェイスでインバウンドに適用する必要があります。これは拡張ACLであり、可能な限りソースの近くに適用する必要があります。次のようになります。

interface GigabitEthernet0/0
 description LAN interface
 ip access-group 101 in

DNSはTCPもサポートする必要があるのに対し、UDPを介してDNSのみをブロックしているという問題もあります。 RFC 5966、DNSトランスポートオーバーTCP-実装要件 は、DNSが必要であるという事実を明確にしますTCPをサポート:

したがって、このドキュメントは、TCPのサポートが今後、完全なDNSプロトコル実装の必須部分になるようにコアDNSプロトコル仕様を更新します。

あなたはおそらくこのようなものが欲しいでしょう:

access-list 101 permit udp any Host 8.8.8.8 eq 53
access-list 101 permit udp any Host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit tcp any Host 8.8.8.8 eq 53
access-list 101 permit tcp any Host 8.8.4.4 eq 53
access-list 101 deny tcp any any eq 53
access-list 101 permit ip any any

上記のACLをLANからルーターにインバウンドで配置すると、DNS要求が8.8.8.8または8.8.4.4宛てでない限り、ルーターに入るのをブロックします。

1
Ron Maupin