Vielen Dank an alle, die sich die Zeit nehmen, dies zu lesen. Ich habe einen ac750 Archer C2-Router und verwende OpenDNS. Ich habe den DNS für das WAN auf die Server von OpenDNS eingestellt und versuche, deren Anweisungen zu befolgen, um TCP/UDP IN/OUT auf 208.67.222.222 oder 208.67.220.220 auf Port 53 zu ERLAUBEN und TCP/UDP IN/OUT für alle IP-Adressen auf Port 53 zu BLOCKIEREN. Ich habe den Host als den gesamten verfügbaren IP-Bereich (192.168.1.0 - 192.168.1.199) auf Port 53 hinzugefügt und ihn „Alle“ genannt. Das Ziel ist OpenDNS-Server Nr. 1 (208.67.222.222) mit dem Namen „OpenDNS1“. Ich konzentriere mich nur darauf, dass einer richtig funktioniert, dann füge ich den zweiten hinzu. Dann habe ich für den Zeitplan die gesamte rund um die Uhr verfügbare Zeit ausgewählt.
Hier ist jetzt die Tabelle in der Router-Kontrollliste:
Description: LAN Host: Target: Schedule: Rule: Status:
Allow DNS IN Any Host OpenDNS1 Any Time Allow Enabled
Allow DNS out Any Host OpenDNS1 Any Time Allow Enabled
all in All Any Host Any Time Deny Enabled
all out All Any Host Any Time Deny Enabled
Ich habe viel mit den Regeln herumgespielt. Einmal hatte ich es so eingestellt, dass ich den OpenDNS-Server verwenden konnte, wenn mein PC so eingestellt war, dass er den DNS automatisch einstellte. Wenn ich ihn aber auf Googles DNS 8.8.8.8 ändere, umgeht er OpenDNS und zeigt Inhalte für Erwachsene und Sachen, die ich nicht will. Ich hatte vorher IPv6 aktiviert und bekam komische Ergebnisse. Als ich dann IPv6 deaktivierte, funktionierte es, solange ich den DNS nicht änderte.
Ich habe den DNS-Resolver-Cache über ipconfig /flushdns geleert, aber das scheint nicht zu helfen. Ich werde manchmal etwas ungeduldig, wenn ich verschiedene Regeln ausprobiere. Soll ich versuchen, den Router/jedes Gerät zurückzusetzen, nachdem ich die Regeln geändert habe? Oder geht das fast sofort, wie ich hoffe?
Mein Endziel besteht darin, nur zwei Geräte zu haben, die OpenDNS umgehen und ihr eigenes bzw. das DNS von Google verwenden dürfen.
Danke für die Hilfe!
Antwort1
Ich habe den Host als gesamten verfügbaren IP-Bereich (192.168.1.0 - 192.168.1.199) auf Port 53 hinzugefügt und ihn "Alle" genannt.
Sie übersehen ein wichtiges Detail, das jedes TCP- oder UDP-Paket hatzweiPorts: Absender und Ziel. Wenn Ihre LAN-Hosts DNS-Abfragen senden, haben sie 192.168.1.x als Quelladresse, aber sienichthaben 53 als Quellport. (Sie haben 53 als Zielport.)
Die Filterung wird also 192.168.1.x:53 -> any:anyniemals DNS-Abfragen abgleichen, es sei denn, diese sind in Ihr LAN eingebunden (d. h. wenn Sieläuftein DNS-Server). Der Filter, den Sie benötigen, ist 192.168.1.x:any -> any:53, mit LAN-IP-Adressen auf der Quelle, aber nur Port 53 auf dem Ziel.
(Nebenbemerkung: Sie können oft das gesamte LAN (.1 bis .255) als einen einzigen 192.168.1.0/24Eintrag angeben.)