utilizzando un elenco di accesso esteso (consigliato): Listi di accesso estesi consentono di filtrare in base all'indirizzo IP di origine/destinazione, al protocollo e alla porta. Questo è molto più preciso e sicuro di una lista di accesso standard.
`` `
Access-list Extended Deny_DNS_53 Deny TCP qualsiasi Eq 53
Access-list Extended Deny_dns_53 Deny UDP qualsiasi Eq 53
`` `
Questo crea un elenco di accesso esteso chiamato `deny_dns_53`. Le righe fanno quanto segue:
* `Deny TCP qualsiasi EQ 53`:nega il traffico TCP alla porta 53 (utilizzato per alcune query DNS). `Any` indica qualsiasi indirizzo IP di origine e destinazione.
* `Nega UDP qualsiasi EQ 53`:Denies UDP traffico verso la porta 53 (la porta primaria utilizzata per DNS). `Any` di nuovo indica qualsiasi indirizzo IP di origine e destinazione.
Applicazione della lista di accesso: Questa lista di accesso deve essere applicata a un'interfaccia, ad esempio:
`` `
interfaccia gigabithernet0/0
IP Access-Group Deny_dns_53 Out
`` `
Ciò applica l'elenco di accesso al traffico in uscita dell'interfaccia `gigabithernet0/0`. Cambia `out` in` in` per filtrare il traffico in entrata. Sostituisci `GigabitEthernet0/0` con l'interfaccia effettiva che si desidera controllare.
utilizzando una lista di accesso standard (meno precisa, generalmente non consigliata): Filtro di accesso standard solo in base agli indirizzi IP di origine. Non è possibile specificare la porta con un elenco di accesso standard, rendendola inadatta a questa attività specifica a meno che non si desideri negare il traffico da un IP specifico *interamente *, indipendentemente dalla porta. Sarebbe molto più ampio e più probabilità di interrompere il traffico legittimo. Evita questo approccio per il filtro DNS.
Considerazioni importanti:
* Posizionamento: Considera attentamente dove si applica l'elenco di accesso. Applicarlo in modo troppo ampio potrebbe interrompere la tua risoluzione DNS. Spesso è meglio applicarlo a un'interfaccia più vicina ai dispositivi o agli utenti che si desidera limitare.
* DNS interno: Se si dispone di un server DNS interno, assicurarsi che non sia influenzato da questo elenco di accesso. Potresti aver bisogno di regole aggiuntive per consentire il traffico da e verso il server DNS interno.
* Altre porte: A volte DNS può usare altre porte. Mentre 53 è lo standard, potrebbe essere necessario considerare ulteriori regole se si sospettano che vengano utilizzate porte alternative.
* Firewall: Prendi in considerazione un firewall (come Pfsense, Opnsense o un firewall hardware dedicato) per una sicurezza di rete più robusta e sofisticata. I firewall offrono generalmente funzionalità più avanzate per il controllo del traffico rispetto ai semplici elenchi di accesso.
Testa sempre le modifiche alla lista di accesso in un ambiente di test prima di applicarle alla rete di produzione. Listi di accesso configurati in modo errato possono interrompere gravemente la connettività di rete.
software © www.354353.com