路由器访问控制列表可防止用户使用备用 DNS

路由器访问控制列表可防止用户使用备用 DNS

感谢花时间阅读本文的任何人,我有一台 ac750 archer c2 路由器,我正在使用 OpenDNS。我已将 WAN 的 DNS 设置为 OpenDNS 的服务器,并尝试按照他们的说明允许 TCP/UDP IN/OUT 到端口 53 上的 208.67.222.222 或 208.67.220.220,并阻止端口 53 上的所有 IP 地址的 TCP/UDP IN/OUT。我已将主机添加为端口 53 上可用的整个 IP 范围(192.168.1.0 - 192.168.1.199),并将其命名为“全部”,目标是名为“OpenDNS1”的 OpenDNS 的服务器 #1(208.67.222.222)。我只专注于让一个服务器正常工作,然后再添加第二个。然后对于时间表,我选择了全天候可用。

目前路由器控制列表中的表格如下:

 Description:   LAN Host:   Target:     Schedule:   Rule:   Status: 
Allow DNS IN    Any Host    OpenDNS1    Any Time    Allow   Enabled 
Allow DNS out   Any Host    OpenDNS1    Any Time    Allow   Enabled 
all in            All       Any Host    Any Time    Deny    Enabled 
all out           All       Any Host    Any Time    Deny    Enabled 

我尝试了很多规则,有一次我设置了它,如果我的 PC 设置为自动设置 DNS,我可以使用 OpenDNS 服务器,但如果我将其更改为谷歌的 DNS 8.8.8.8,那么它就会绕过 OpenDNS 并显示成人内容和我不想要的东西。我之前启用了 ipv6,结果很奇怪,然后当我关闭 ipv6 时,只要我不更改 DNS,它就可以正常工作。

我一直在通过 ipconfig /flushdns 刷新 DNS 解析器缓存,但这似乎没有帮助。尝试不同的规则时,我会有点不耐烦,我是否应该在更改规则后尝试重置路由器/每个设备?还是会像我希望的那样几乎立即完成?

我的最终目标是只有 2 个设备可以绕过 OpenDNS 并使用它们自己的/google 的 DNS。

谢谢您的帮助!

答案1

我已将主机添加为端口 53 上的整个可用 IP 范围(192.168.1.0 - 192.168.1.199),并将其命名为“全部”

你忽略了每个 TCP 或 UDP 数据包都有一个重要细节端口:发送方和目标。当您的 LAN 主机发送 DNS 查询时,它们的源地址为 192.168.1.x,但它们不要源端口为 53。(目标端口为 53。)

因此,过滤192.168.1.x:53 -> any:any永远不会匹配任何 DNS 查询,除非它们是入站到你的 LAN(即如果你跑步DNS 服务器)。您需要的过滤器是192.168.1.x:any -> any:53,源上有 LAN IP 地址,但目标上只有端口 53。

(附注:您通常可以将整个 LAN(.1 到 .255)指定为单个192.168.1.0/24条目。)

相关内容