Eu tenho um roteador Cisco (877) atuando como o principal gateway para uma rede; ele tem uma conexão DSL e realiza NAT da rede interna para seu endereço IP público externo.
O roteador permite acesso SSH para gerenciamento, e isso foi limitado usando uma lista de acesso:
access-list 1 permit <internal network range>
line vty 0 4
transport input ssh
access-class 1 in
O servidor da web interno do roteador não está habilitado, mas se estiver, sei que seu acesso pode ser limitado usando a mesma lógica:
ip http access-class 1
Agora, a pegadinha: esse roteador também funciona como um servidor DNS, encaminhando consultas para servidores externos:
ip name-server <ISP DNS 1>
ip name-server <ISP DNS 2>
ip dns server
Meu problema é: o roteador fica perfeitamente feliz em responder a consultas DNS ao recebê-las em sua interface externa .
Como posso bloquear esse tipo de tráfego para que o roteador responda somente às consultas DNS da rede interna?
!Deny DNS from Public
ip access-list extended ACL-IN_FROM-WAN
remark allow OpenDNS lookups
permit udp 208.67.222.222 0.0.0.0 any eq domain
permit tcp 208.67.220.220 0.0.0.0 any eq domain
remark deny all others and log the attempts
deny udp any any eq domain log
deny tcp any any eq domain log
permit ip any any
! Apply to WAN interface
int WAN
ip access-group ACLIN-TO_WAN in
Coloque uma ACL na interface externa. Funciona do mesmo jeito. Faça uma ACL, estendida ou regular, em seguida, aplique-o, mas na interface externa, permitindo apenas o tráfego desejado. Independentemente do DNS, você deve ter isso.
Eu não tentei isso sozinho (não executaria um DNS em meus roteadores) ... mas isso parece ser o que você está procurando:
DNS View Usage Restrictions Based on the Query Source IP Address
A standard IP ACL is a numbered or named set of host IP address-matching rules, with each rule specifying the type of action to be performed if an IP address matches the text string pattern in the rule. The Split DNS feature supports the use of a standard ACL as a view-use restriction based on the query source IP address. In order for a source IP address to match a name list, the IP address must match a rule that explicitly permits a matching pattern but the IP address cannot match any rules that explicitly deny a matching pattern.
Eu adicionaria um comentário, mas não posso. A resposta é simplesmente adicionar uma declaração de permissão para seus servidores DNS que você usa, caso esteja usando o 8.8.8.8 do Google e adicione uma instrução de permissão para a porta 53 do udp de 8.8.8.8 acima da declaração de negação.
OU use ACLs reflexivas: link
Existe uma maneira mais simples de fazer isso com o NAT:
ip nat inside source static udp 1.1.1.1 53 interface GigabitEthernet0/0 53
(Com um 877 eu acho que sua interface externa seria Dialer0 ou atm0.1 dependendo se você usa ppp, ao invés de Gi0 / 0 - o que tem "ip nat outside" nele)
Isso deve desviar todas as conexões de entrada, mas todas as conexões que saem de dentro devem ter uma entrada correspondente na tabela e no trabalho NAT. Isso também exige que você especifique sua interface interna como a interface de pesquisa de origem:
ip domain lookup source-interface Vlan1
(substitua sua própria interface interna por Vlan1 se estiver usando outra coisa)
E isso deve funcionar.
Se alguém tivesse uma interface externa G0 / 1 com IP 34.34.34.34. Essa ACL bloqueará solicitações especificamente vindas de fora tentando atingir sua interface externa, enquanto deixa outras formas de tráfego de DNS não afetadas.
ip access-list extended Outside-In
deny udp any host 34.34.34.34 eq domain
deny tcp any host 34.34.34.34 eq domain
permit ip any any
interface GigabitEthernet0/1
ip access-group Outside-In in
Eu resolvi esse problema na minha rede, dando aos meus clientes servidores dns nas opções do pool dhcp, descobri os servidores DNS do meu isp e, em seguida, desliguei o servidor dns no roteador - no ip dns-server