割り当てられた IP アドレスに基づいて異なる DNS サーバーを使用するように、isc-dhcp-server 構成を取得しようとしています。
基本的に、一部のクライアントを信頼できないものとしてマークし、内部 URL を使用してサービスにアクセスできないようにしたいと考えています。
範囲ベースのプールを使用しようとしましたが、ドメイン ネーム サーバー オプションを処理できないようです。また、同じ IP/ネットマスク構成と範囲ディレクティブを持つ複数のサブネットの使用も試みましたが、常に信頼できない DNS が使用されることになります。両方の構成を以下に示します。IP 範囲は単なる例です。あまり気にしないでください。
私が正しく理解していない点は何でしょうか?
範囲ベースのプールの使用
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
deny unknown-clients;
range 192.168.0.2 192.168.0.50;
option domain-name-servers 192.168.0.254;
}
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.150;
option domain-name-servers 1.1.1.1;
}
}
範囲フィルタリングされたIP/ネットマスクの使用
# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
deny unknown-clients;
range 192.168.0.50 192.168.0.99;
}
# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
option domain-name "1.1.1.1";
range 192.168.0.100 192.168.0.149;
}
答え1
セキュリティを、隠蔽によるセキュリティに基づいて構築しないでください。
のちゃんとしたこれを構成する方法は、ネットワークを分離し(物理的にまたは VLAN を使用して)、ファイアウォールを使用してユーザーを割り当てられたゾーンに制限することです。
もちろん、別のDNSを使用することもできますが、ないDNS が利用できないことを前提にセキュリティを構築してください。5 年後に不可能になる前に、今すぐ適切に構成してください。