1 votos

Lista de control de acceso del enrutador para evitar que los usuarios usen DNS alternativos

Gracias a cualquier persona que se toma el tiempo para leer esto, tengo una ac750 archer c2 router y estoy usando OpenDNS. Yo tengo configurado el DNS para la WAN a los servidores de OpenDNS y estoy tratando de seguir sus instrucciones en PERMITIR TCP/UDP/208.67.222.222 o 208.67.220.220 en el Puerto 53 y el BLOQUE de TCP/UDP/SALIDA DE todas las direcciones IP en el Puerto 53. He añadido el host como toda la gama de direcciones ip disponibles (192.168.1.0 - 192.168.1.199) en el puerto 53 y llamó "a Todos" y que el objetivo es OpenDNS del servidor #1 (208.67.222.222) denominado "OpenDNS1". Sólo estoy centrado en conseguir un trabajo a la derecha, a continuación, voy a añadir el segundo. Luego de la programación, he seleccionado todo el tiempo disponible 24/7.

Aquí está la tabla en el router de la lista de control ahora:

 Description:   LAN Host:   Target:     Schedule:   Rule:   Status: 
Allow DNS IN    Any Host    OpenDNS1    Any Time    Allow   Enabled 
Allow DNS out   Any Host    OpenDNS1    Any Time    Allow   Enabled 
all in            All       Any Host    Any Time    Deny    Enabled 
all out           All       Any Host    Any Time    Deny    Enabled 

He jugado un poco con las reglas de una tonelada, llegué al punto de que para poder usar las de OpenDNS servidor si mi PC se establece en auto configurar el DNS, pero si lo cambio a google DNS 8.8.8.8 y luego no pasa por los de OpenDNS y muestra el contenido para adultos y cosas que no quiero. Yo había ipv6 antes y yo estaba raro resultados, entonces cuando me di ipv6 todo, fue a trabajar como siempre y cuando no me cambio el DNS.

He estado vaciando la Caché de Resolución de DNS a través de ipconfig /flushdns, pero que no parece ayudar. Puedo conseguir un poco impaciente cuando se trata de reglas diferentes, debo intentar resetear el router/cada dispositivo después de cambiar las reglas? O será cerca instante, como estoy esperando?

Mi objetivo final es solo tener 2 dispositivos que se pueden omitir los de OpenDNS y el uso de sus propios/google DNS.

Gracias por la ayuda!

0voto

Nick Dixon Puntos 154

He añadido el host como toda la gama de direcciones ip disponibles (192.168.1.0 - 192.168.1.199) en el puerto 53 y llamó "a Todos"

Te falta un detalle importante que cada TCP o UDP paquete tiene dos puertos: el remitente y el destino. Cuando su LAN hosts envían las consultas DNS, tienen 192.168.1.x como la dirección de origen, pero que no tienen 53 como el puerto de origen. (Tienen 53 como el puerto de destino.)

Para filtrar 192.168.1.x:53 -> any:any nunca coincide con ninguna de las consultas DNS, a menos que sean de entrada a la LAN (es decir, si está ejecutando un servidor DNS). El filtro que necesita es 192.168.1.x:any -> any:53, con LAN direcciones IP en el código fuente, pero el puerto 53 sólo en el destino.

(Aparte: Usted a menudo puede especificar el conjunto de la LAN (.1 a .255) como una sola 192.168.1.0/24 entrada).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: