Block Todos os servidores DNS, exceto um específico (lista branca)

1

Atualmente, tenho um roteador CISCO e gostaria de configurar uma ACL que permita somente servidores DNS do Google e bloqueie todos os outros, caso estejam configurados no cliente.

Eu tenho a seguinte ACL, mas ela não é aplicada corretamente e permite que outros servidores DNS sejam usados em vez do Google.

ACLS

access-list 101 permit udp any host 8.8.8.8 eq 53
access-list 101 permit udp any host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit ip any any

Existe alguma coisa que esteja faltando?

Agradecemos antecipadamente:)

    
por Ryan Hawdon 04.11.2017 / 14:58

2 respostas

2

Você definiu sua ACL, mas não mostra para quais interfaces você a aplicou. ACL sem aplicá-lo à interface não tem efeito. Consulte

link

link

Basicamente você quer

interface ethernet 0
 ip access-group 101 out

Substitua sua ethernet 0 pelo seu tipo e número de interface.

    
por 04.11.2017 / 16:11
1

Sua lista de acesso deve ser aplicada na interface da LAN. É uma ACL estendida que deve ser aplicada o mais próximo possível da fonte. Deve ser algo como:

interface GigabitEthernet0/0
 description LAN interface
 ip access-group 101 in

Você também tem um problema, pois está apenas bloqueando o DNS através do UDP, enquanto o DNS também deve suportar o TCP. RFC 5966, Transporte de DNS sobre TCP - Requisitos de Implementação esclarece o fato de que o DNS deve oferecer suporte ao TCP:

This document therefore updates the core DNS protocol specifications such that support for TCP is henceforth a REQUIRED part of a full DNS protocol implementation.

Você provavelmente quer algo assim:

access-list 101 permit udp any host 8.8.8.8 eq 53
access-list 101 permit udp any host 8.8.4.4 eq 53
access-list 101 deny udp any any eq 53
access-list 101 permit tcp any host 8.8.8.8 eq 53
access-list 101 permit tcp any host 8.8.4.4 eq 53
access-list 101 deny tcp any any eq 53
access-list 101 permit ip any any

Colocar a ACL acima como entrada para o roteador a partir da LAN bloqueará a entrada de solicitações de DNS no roteador, a menos que elas sejam destinadas a 8.8.8.8 ou 8.8.4.4 .

    
por 04.11.2017 / 21:19