Atualmente, tenho um roteador CISCO e gostaria de configurar uma ACL que permita somente servidores DNS do Google e bloqueie todos os outros, caso estejam configurados no cliente.
Eu tenho a seguinte ACL, mas ela não é aplicada corretamente e permite que outros servidores DNS sejam usados em vez do Google.
ACLS
access-list 101 permit udp any host 8.8.8.8 eq 53
access-list 101 permit udp any host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit ip any any
Existe alguma coisa que esteja faltando?
Agradecemos antecipadamente:)
Sua lista de acesso deve ser aplicada na interface da LAN. É uma ACL estendida que deve ser aplicada o mais próximo possível da fonte. Deve ser algo como:
interface GigabitEthernet0/0
description LAN interface
ip access-group 101 in
Você também tem um problema, pois está apenas bloqueando o DNS através do UDP, enquanto o DNS também deve suportar o TCP. RFC 5966, Transporte de DNS sobre TCP - Requisitos de Implementação esclarece o fato de que o DNS deve oferecer suporte ao TCP:
This document therefore updates the core DNS protocol specifications such that support for TCP is henceforth a REQUIRED part of a full DNS protocol implementation.
Você provavelmente quer algo assim:
access-list 101 permit udp any host 8.8.8.8 eq 53
access-list 101 permit udp any host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit tcp any host 8.8.8.8 eq 53
access-list 101 permit tcp any host 8.8.4.4 eq 53
access-list 101 deny tcp any any eq 53
access-list 101 permit ip any any
Colocar a ACL acima como entrada para o roteador a partir da LAN bloqueará a entrada de solicitações de DNS no roteador, a menos que elas sejam destinadas a 8.8.8.8 ou 8.8.4.4 .