Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Použitie rozšíreného zoznamu prístupu (odporúčané): Rozšírené zoznamy prístupov vám umožňujú filtrovať na základe zdrojovej/cieľovej adresy IP, protokolu a portu. Je to oveľa presnejšie a bezpečnejšie ako štandardný zoznam prístupu.
`` `
Access-List Extended Deny_DNS_53 odmietnuť TCP akékoľvek EQ 53
Access-List Extended Deny_DNS_53 zamietnuť UDP akékoľvek EQ 53
`` `
Tým sa vytvára rozšírený zoznam prístupu s názvom `DENY_DNS_53`. Riadky robia nasledujúce:
* `Zamietnuť TCP akékoľvek EQ 53`:Odopiera prenos TCP na port 53 (použitý pre niektoré dotazy DNS). „Any` znamená akýkoľvek zdroj a cieľovú adresu IP.
* `Odoprieť UDP akékoľvek EQ 53`:Odopiera prenos UDP na port 53 (primárny port použitý pre DNS). `Any` Opäť znamená akýkoľvek zdroj a cieľovú adresu IP.
Aplikácia prístupového zoznamu: Tento zoznam prístupu musí byť použitý napríklad na rozhranie:
`` `
rozhranie gigabitethernet0/0
IP Access-Group Deny_DNS_53 Out
`` `
To aplikuje zoznam prístupov k odchádzajúcej prenosu rozhrania „Gigabitethernet0/0`. Zmeňte `out` na` in ", aby ste filtrovali prichádzajúcu prevádzku. Vymeňte `gigabitethernet0/0` za skutočné rozhranie, ktoré chcete ovládať.
Použitie štandardného zoznamu prístupu (menej presné, všeobecne sa neodporúča): Štandardné zoznamy prístupových zoznamov iba na základe zdrojových IP adries. Port nemôžete určiť pomocou štandardného zoznamu prístupu, vďaka čomu je pre túto konkrétnu úlohu nevhodný, pokiaľ nechcete odmietnuť prenos z konkrétneho IP *úplne *, bez ohľadu na port. Bolo by oveľa širšie a pravdepodobnejšie, že by narušilo legitímnu premávku. Vyhnite sa tomuto prístupu pre filtrovanie DNS.
Dôležité úvahy:
* Umiestnenie: Opatrne zvážte, kde použijete zoznam prístupov. Príliš rozsiahle použitie by mohlo narušiť vaše vlastné rozlíšenie DNS. Často je najlepšie aplikovať ho na rozhranie bližšie k zariadeniam alebo používateľom, ktorých chcete obmedziť.
* interné dns: Ak máte interný server DNS, uistite sa, že tento prístupový zoznam nie je ovplyvnený. Možno budete potrebovať ďalšie pravidlá, aby ste umožnili návštevnosť a zo svojho interného servera DNS.
* Ostatné porty: DNS niekedy môže používať iné porty. Zatiaľ čo 53 je štandardom, možno budete musieť zvážiť ďalšie pravidlá, ak sa podozrieva, že sa používajú alternatívne prístavy.
* firewall: Zoberme si bránu firewall (ako PFSense, Opnsense alebo vyhradený hardvérový firewall) pre robustnejšiu a sofistikovanejšiu bezpečnosť siete. Brány firewall vo všeobecnosti ponúkajú pokročilejšie funkcie na riadenie prenosu ako jednoduché zoznamy prístupov.
Pred použitím vo vašej výrobnej sieti vždy otestujte zmeny v testovacom prostredí v testovacom prostredí. Nesprávne nakonfigurované prístupové zoznamy môžu vážne narušiť sieťové pripojenie.