web-dev-qa-db-ja.com

Ciscoルーターで実行されているDNSサービスへの外部アクセスをブロックするにはどうすればよいですか?

ネットワークのメインゲートウェイとして機能するCisco(877)ルーターがあります。 DSL接続があり、内部ネットワークから外部のパブリックIPアドレスにNATを実行します。

ルーターは管理のためにSSHアクセスを許可しますが、これはアクセスリストを使用して制限されています。

access-list 1 permit <internal network range>

line vty 0 4
    transport input ssh
    access-class 1 in

ルーターの内部Webサーバーが有効になっていないが、有効になっている場合は、同じロジックを使用してアクセスを制限できることを知っています。

ip http access-class 1

さて、落とし穴:このルーターはDNSサーバーとしても機能し、クエリを外部サーバーに転送します。

ip name-server <ISP DNS 1>
ip name-server <ISP DNS 2>
ip dns server

私の問題は次のとおりです:ルーターは外部インターフェースでDNSクエリを受信すると完全に満足しています。

ルーターが内部ネットワークからのDNSクエリにのみ応答するように、この種のトラフィックをブロックするにはどうすればよいですか?

domain-name-systemciscorouteraccess-control-list
2
Massimo
!Deny DNS from Public 
 ip access-list extended ACL-IN_FROM-WAN
  remark allow OpenDNS lookups
  permit udp 208.67.222.222 0.0.0.0 any eq domain
  permit tcp 208.67.220.220 0.0.0.0 any eq domain
  remark deny all others and log the attempts
  deny   udp any any eq domain log
  deny   tcp any any eq domain log
  permit ip any any

! Apply to WAN interface
 int WAN
  ip access-group ACLIN-TO_WAN in
5
user227012

NATを使用してそれを行う簡単な方法があります。

ip nat inside source static udp 1.1.1.1 53 interface GigabitEthernet0/0 53

(877では、Gi0/0の代わりにpppを使用するかどうかに応じて、外部インターフェイスはDialer0またはatm0.1になると思います-「ipnatoutside」が含まれているものは何でも)

これにより、すべての着信接続が迂回されますが、内部から発信されるすべての接続には、NATテーブルに一致するエントリがあり、機能する必要があります。これには、内部インターフェイスをソースルックアップインターフェイスとして指定する必要もあります。 :

ip domain lookup source-interface Vlan1

(他のものを使用している場合は、Vlan1の代わりに独自の内部インターフェースを使用してください)

そして、それでうまくいくはずです。

0
Astarath

コメントを追加しますが、できません。答えは、使用するDNSサーバーにallowステートメントを追加するだけなので、Googleの8.8.8.8を使用している場合は、denyステートメントの上に8.8.8.8からudpポート53のpermitステートメントを追加します。

または再帰ACLを使用します: http://www.Cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfreflx.html

0
MysticRyuujin

ACLを外部インターフェイスに配置します。まったく同じように機能します。拡張または通常のACLを作成し、それを外部インターフェイスに適用して、必要なトラフィックのみを許可します。 DNSに関係なく、それが必要です。

私は自分でそれを試していません(ルーターでDNSを実行しません)...しかし、これはあなたが探しているもののようです:

クエリ送信元IPアドレスに基づくDNSビューの使用制限

標準IPACLは、ホストIPアドレス一致ルールの番号付きまたは名前付きのセットであり、各ルールは、IPアドレスがルールのテキスト文字列パターンと一致する場合に実行されるアクションのタイプを指定します。スプリットDNS機能は、クエリ送信元IPアドレスに基づくビュー使用制限としての標準ACLの使用をサポートします。送信元IPアドレスが名前リストと一致するためには、IPアドレスは一致パターンを明示的に許可するルールと一致する必要がありますが、IPアドレスは一致パターンを明示的に拒否するルールと一致することはできません。

http://www.Cisco.com/c/en/us/td/docs/ios/12_4t/12_4t11/htspldns.html#wp1049435

0
ETL