Como restringir o endereço de escuta TCP de um servidor DNS do Windows 2003 AD

2

Eu tenho um servidor DNS integrado ao Windows 2003 AD, que eu quero ouvir apenas o tráfego DNS em endereços IP do adaptador. No entanto, eu segui as etapas do artigo de technet . Depois de concluí-los e redefinir o servidor DNS, vejo que o UDP está apenas nas interfaces configuradas, mas o TCP ainda está ouvindo em todas as interfaces.

Aqui está a saída de netstat -aon | find ":53 "

TCP    0.0.0.0:53             0.0.0.0:0              LISTENING       8040
UDP    127.0.0.1:53           *:*                                    8040
UDP    192.168.1.2:53         *:*                                    8040
UDP    192.168.2.2:53         *:*                                    8040
UDP    192.168.3.1:53         *:*                                    8040

E aqui está uma captura de tela da minha configuração de DNS:

EDIT: Para ser claro, meu objetivo final é configurar um proxy dns no servidor. Eu quero vinculá-lo 127.0.0.7, mas não posso porque o servidor DNS do Windows já está escutando esse endereço.

    
por just.another.programmer 11.07.2014 / 17:22

1 resposta

1

Não tenho conhecimento de nenhuma funcionalidade de estoque no servidor DNS para fazer o que você deseja. Eu consideraria usar regras do Firewall do Windows.

Editar:

Acabei de testar a vinculação à porta TCP 53 antes de iniciar o serviço do Servidor DNS no Windows Server 2003 e obtive um resultado totalmente inesperado.

Parei o serviço do Servidor DNS e usei netcat para ligar um ouvinte a 0.0.0.0:53. Ativei uma segunda netcat instância vinculada à porta TCP 53 do endereço IP da LAN do servidor. Verifiquei a saída de um comando netstat -a -n -o e localizei meus netcat processos ouvindo conforme o esperado. Em seguida, ativei o processo do Servidor DNS e verifiquei novamente a saída netstat .

Para minha surpresa, descobri que o PID para dns.exe estava listado como possuindo vinculações de escuta para 127.0.0.1:53 (que eu esperava) e a porta TCP do endereço IP da LAN do servidor 53, o que eu não esperava. Meu netcat processo ainda foi mostrado com uma ligação à porta TCP 53 do endereço IP da LAN do servidor! Sim, parecia que ambos os processos tinham a mesma ligação de audição.

Quando essa situação de "ligação dupla" estava em vigor, descobri que meu processo netcat (que foi iniciado primeiro) parecia receber as conexões TCP recebidas, mas não testei o suficiente para dizer que meus resultados foram consistentes .

Eu acho que você está preso.

    
por 12.07.2014 / 01:59