除了在防火墙级别进行 IP 白名单之外,是否有可能只允许特定的授权人员联系和使用位于公共 IP 上的 DNS 服务器?
如果我正确理解了 OSI 模型,那么如果我没记错的话,您就不能使用 MAC 地址。
OpenDNS 等地方均采用基于订阅的模式,因此我认为是否有可能控制谁可以访问您的 DNS 服务器?
目标:我们的想法是为具有自定义记录的特定企业/客户设置 DNS 服务器,但也不想允许任何人都能使用 DNS 服务器。
答案1
如果您无法将客户端固定到固定的 IP 地址,我建议您执行以下操作之一:
- 查看 dnscrypt,它仅允许经过身份验证的 DNS 请求
- 让您的客户端通过 VPN 连接并重新获得对源 IP 地址的控制权
那些向您提供客户端当前 IP 地址(例如以前的登录信息或端口敲击)的解决方案,会在您的边界(例如防火墙)上打洞,这并不那么安全。
唉,所有这些解决方案都需要客户端采取一些措施。我认为你无法完全透明地解决这个问题。
答案2
'bind' 是一个非常常见的名称服务器,它支持 ACL 以及使用这些 ACL 限制查询和 DNS 递归。简而言之,使用 bind,您可以配置谁可以访问并根据单个 IP 和 IP 范围执行某些类型的查找,完全阻止他们并完全开放他们。
请参阅此处了解更多信息:https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-bind-namedconf.html
回答您的问题,是的,可以在没有防火墙的情况下做到这一点,但是使用防火墙和使用 ACL 并不完全相同,您可能出于一个原因想要使用防火墙(阻止恶意活动),而出于另一个原因想要使用 ACL(仅设置递归服务器而不是权威 DNS 服务器)。