我正在尝试获取 isc-dhcp-server 配置,以根据分配的 ip 地址使用不同的 DNS 服务器。
基本上,我希望将一些客户端标记为不受信任,这样它们就可能无法使用内部 url 访问服务。
我尝试使用基于范围的池,但它们似乎无法处理域名服务器选项。我还尝试使用具有相同 ip/网络掩码配置和范围指令的多个子网,这始终会导致使用不受信任的 dns。您可以在下面看到这两个配置。IP 范围只是示例,不要太在意它们。
我没有正确理解什么?
使用基于范围的池
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
deny unknown-clients;
range 192.168.0.2 192.168.0.50;
option domain-name-servers 192.168.0.254;
}
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.150;
option domain-name-servers 1.1.1.1;
}
}
使用范围过滤的 IP/网络掩码
# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
deny unknown-clients;
range 192.168.0.50 192.168.0.99;
}
# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
option domain-name "1.1.1.1";
range 192.168.0.100 192.168.0.149;
}
答案1
不要将您的安全建立在模糊性安全性上。
这恰当的配置方法是分离网络(物理上或使用 VLAN),并使用防火墙将用户限制在指定的区域。
当然,你可以使用单独的 DNS,但你应该不是确保你的安全基于 DNS 不可用。现在就正确配置它,以免五年后它变得不可能。