不要将您的安全建立在模糊性安全性上。

不要将您的安全建立在模糊性安全性上。

我正在尝试获取 isc-dhcp-server 配置,以根据分配的 ip 地址使用不同的 DNS 服务器。
基本上,我希望将一些客户端标记为不受信任,这样它们就可能无法使用内部 url 访问服务。
我尝试使用基于范围的池,但它们似乎无法处理域名服务器选项。我还尝试使用具有相同 ip/网络掩码配置和范围指令的多个子网,这始终会导致使用不受信任的 dns。您可以在下面看到这两个配置。IP 范围只是示例,不要太在意它们。

我没有正确理解什么?

使用基于范围的池

subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
    deny unknown-clients;
    range 192.168.0.2 192.168.0.50;
    option domain-name-servers 192.168.0.254;
    }
pool {
    allow unknown-clients;
    range 192.168.0.100 192.168.0.150;
    option domain-name-servers 1.1.1.1;
    }
}

使用范围过滤的 IP/网络掩码

# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
    option domain-name-servers 192.168.0.254;
    deny unknown-clients;
    range 192.168.0.50 192.168.0.99;
    }

# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
    deny unknown-clients;
    option domain-name "1.1.1.1";
    range 192.168.0.100 192.168.0.149;
    }

答案1

不要将您的安全建立在模糊性安全性上。

恰当的配置方法是分离网络(物理上或使用 VLAN),并使用防火墙将用户限制在指定的区域。

当然,你可以使用单独的 DNS,但你应该不是确保你的安全基于 DNS 不可用。现在就正确配置它,以免五年后它变得不可能。

相关内容