我在用DNS 策略使用 Windows DNS 服务器。在我的场景中,我想允许本地子网 (192.168.1.0/24) 中的递归查询,并拒绝其他子网中的递归查询。
在从本地子网查询域名 (example.com) 之前,它运行良好。从本地解析后,它开始解析所有 IP。我认为它首先查看缓存并立即做出响应,而无需查看策略。
我如何拒绝缓存中外部 IP 的递归查询?
这是我的保单详情。
Add-DnsServerClientSubnet -Name ServersSubnet -IPv4Subnet 192.168.1.0/24
Add-DnsServerClientSubnet -Name LoopBackSubnet -IPv4Subnet 127.0.0.0/8 -IPv6Subnet ::1/128
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True -Forwarder 208.26.222.222, 208.67.220.220
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainRecursionPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ClientSubnet "eq,ServersSubnet,LoopBackSubnet"
答案1
问题是您是否要阻止外部客户端对 example.com 的解析?递归策略控制 DNS 服务器是否将为外部客户端进行递归。使用上面创建的策略,它将不会进行递归。但它仍将继续从缓存中响应。如果您想阻止外部客户端的名称解析,请执行以下操作 Add-DnsServerQueryResolutionPolicy -Name "SplitBrainDenyPolicy" -Action DENY- -ClientSubnet "ne,ServersSubnet,LoopBackSubnet"
注意我在这里使用了“ne”。您还可以使用 -ServerInterface 标准来区分内部和外部客户端。
Ashu [我设计了 DNS 策略]
~