Como bloquear o acesso externo ao serviço DNS em execução em um roteador Cisco?

2

Eu tenho um roteador Cisco (877) atuando como o principal gateway para uma rede; ele tem uma conexão DSL e realiza NAT da rede interna para seu endereço IP público externo.

O roteador permite acesso SSH para gerenciamento, e isso foi limitado usando uma lista de acesso:

access-list 1 permit <internal network range>

line vty 0 4
    transport input ssh
    access-class 1 in

O servidor da web interno do roteador não está habilitado, mas se estiver, sei que seu acesso pode ser limitado usando a mesma lógica:

ip http access-class 1

Agora, a pegadinha: esse roteador também funciona como um servidor DNS, encaminhando consultas para servidores externos:

ip name-server <ISP DNS 1>
ip name-server <ISP DNS 2>
ip dns server

Meu problema é: o roteador fica perfeitamente feliz em responder a consultas DNS ao recebê-las em sua interface externa .

Como posso bloquear esse tipo de tráfego para que o roteador responda somente às consultas DNS da rede interna?

    
por Massimo 26.02.2014 / 15:54

6 respostas

5
!Deny DNS from Public 
 ip access-list extended ACL-IN_FROM-WAN
  remark allow OpenDNS lookups
  permit udp 208.67.222.222 0.0.0.0 any eq domain
  permit tcp 208.67.220.220 0.0.0.0 any eq domain
  remark deny all others and log the attempts
  deny   udp any any eq domain log
  deny   tcp any any eq domain log
  permit ip any any

! Apply to WAN interface
 int WAN
  ip access-group ACLIN-TO_WAN in
    
por 19.06.2014 / 07:41
0

Coloque uma ACL na interface externa. Funciona do mesmo jeito. Faça uma ACL, estendida ou regular, em seguida, aplique-o, mas na interface externa, permitindo apenas o tráfego desejado. Independentemente do DNS, você deve ter isso.

Eu não tentei isso sozinho (não executaria um DNS em meus roteadores) ... mas isso parece ser o que você está procurando:

DNS View Usage Restrictions Based on the Query Source IP Address

A standard IP ACL is a numbered or named set of host IP address-matching rules, with each rule specifying the type of action to be performed if an IP address matches the text string pattern in the rule. The Split DNS feature supports the use of a standard ACL as a view-use restriction based on the query source IP address. In order for a source IP address to match a name list, the IP address must match a rule that explicitly permits a matching pattern but the IP address cannot match any rules that explicitly deny a matching pattern.

link

    
por 26.02.2014 / 17:50
0

Eu adicionaria um comentário, mas não posso. A resposta é simplesmente adicionar uma declaração de permissão para seus servidores DNS que você usa, caso esteja usando o 8.8.8.8 do Google e adicione uma instrução de permissão para a porta 53 do udp de 8.8.8.8 acima da declaração de negação.

OU use ACLs reflexivas: link

    
por 20.03.2014 / 02:51
0

Existe uma maneira mais simples de fazer isso com o NAT:

ip nat inside source static udp 1.1.1.1 53 interface GigabitEthernet0/0 53 

(Com um 877 eu acho que sua interface externa seria Dialer0 ou atm0.1 dependendo se você usa ppp, ao invés de Gi0 / 0 - o que tem "ip nat outside" nele)

Isso deve desviar todas as conexões de entrada, mas todas as conexões que saem de dentro devem ter uma entrada correspondente na tabela e no trabalho NAT. Isso também exige que você especifique sua interface interna como a interface de pesquisa de origem:

ip domain lookup source-interface Vlan1

(substitua sua própria interface interna por Vlan1 se estiver usando outra coisa)

E isso deve funcionar.

    
por 25.06.2015 / 04:17
-1

Se alguém tivesse uma interface externa G0 / 1 com IP 34.34.34.34. Essa ACL bloqueará solicitações especificamente vindas de fora tentando atingir sua interface externa, enquanto deixa outras formas de tráfego de DNS não afetadas.

 ip access-list extended Outside-In
    deny   udp any host 34.34.34.34 eq domain
    deny   tcp any host 34.34.34.34 eq domain
    permit ip any any
interface GigabitEthernet0/1
 ip access-group Outside-In in
    
por 12.05.2016 / 20:24
-1

Eu resolvi esse problema na minha rede, dando aos meus clientes servidores dns nas opções do pool dhcp, descobri os servidores DNS do meu isp e, em seguida, desliguei o servidor dns no roteador - no ip dns-server

    
por 05.02.2017 / 00:31