Ich versuche, eine ISC-DHCP-Serverkonfiguration zu erhalten, die basierend auf der zugewiesenen IP-Adresse verschiedene DNS-Server verwendet.
Grundsätzlich möchte ich einige meiner Clients als nicht vertrauenswürdig markieren, damit sie dann möglicherweise nicht über die interne URL auf Dienste zugreifen können.
Ich habe versucht, bereichsbasierte Pools zu verwenden, die die Option „Domain-Name-Server“ anscheinend nicht verarbeiten können. Ich habe auch versucht, mehrere Subnetze mit derselben IP/Netzmaskenkonfiguration und einer Bereichsanweisung zu verwenden, was immer dazu führt, dass nicht vertrauenswürdige DNS verwendet werden. Sie können beide Konfigurationen unten sehen. Die IP-Bereiche sind nur Beispiele, schenken Sie ihnen nicht zu viel Aufmerksamkeit.
Was verstehe ich nicht richtig?
Verwenden bereichsbasierter Pools
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
deny unknown-clients;
range 192.168.0.2 192.168.0.50;
option domain-name-servers 192.168.0.254;
}
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.150;
option domain-name-servers 1.1.1.1;
}
}
Verwenden einer bereichsgefilterten IP/Netzmaske
# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
deny unknown-clients;
range 192.168.0.50 192.168.0.99;
}
# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
option domain-name "1.1.1.1";
range 192.168.0.100 192.168.0.149;
}
Antwort1
Basieren Sie Ihre Sicherheit nicht auf Sicherheit durch Unklarheit.
DerrichtigDies lässt sich am besten über separate Netzwerke (entweder physisch oder mithilfe von VLANs) mit Firewalls konfigurieren, um die Benutzer auf die ihnen zugewiesenen Zonen zu beschränken.
Natürlich können Sie separate DNS verwenden, aber Sie solltennichtBasieren Sie Ihre Sicherheit auf der Nichtverfügbarkeit von DNS. Konfigurieren Sie es jetzt richtig, bevor es in fünf Jahren unmöglich ist.