Gracias a cualquiera que se tome el tiempo de leer esto. Tengo un enrutador ac750 archer c2 y estoy usando OpenDNS. He configurado el DNS para la WAN en los servidores de OpenDNS y estoy intentando seguir sus instrucciones sobre PERMITIR ENTRADA/SALIDA TCP/UDP a 208.67.222.222 o 208.67.220.220 en el puerto 53 y BLOQUEAR ENTRADA/SALIDA TCP/UDP en todas las direcciones IP. en el puerto 53. Agregué el host como todo el rango de IP disponibles (192.168.1.0 - 192.168.1.199) en el puerto 53 y lo llamé "Todos" y el objetivo es el servidor OpenDNS n.º 1 (208.67.222.222) llamado " OpenDNS1". Solo me estoy concentrando en hacer que uno funcione correctamente, luego agregaré el segundo. Luego para el horario he seleccionado todo el tiempo disponible 24/7.
Aquí está la tabla en la lista de control del enrutador ahora:
Description: LAN Host: Target: Schedule: Rule: Status:
Allow DNS IN Any Host OpenDNS1 Any Time Allow Enabled
Allow DNS out Any Host OpenDNS1 Any Time Allow Enabled
all in All Any Host Any Time Deny Enabled
all out All Any Host Any Time Deny Enabled
He jugado mucho con las reglas, en un momento lo tenía para poder usar el servidor OpenDNS si mi PC estaba configurada para configurar automáticamente el DNS, pero si lo cambio al DNS de Google de 8.8.8.8, entonces se omite. OpenDNS y muestra contenido para adultos y cosas que no quiero. Tenía ipv6 activado antes y obtenía resultados extraños, luego, cuando apagué ipv6, funcionaba siempre y cuando no cambiara el DNS.
He estado limpiando la caché del solucionador de DNS mediante ipconfig /flushdns, pero eso no parece ayudar. Puedo impacientarme un poco al probar diferentes reglas. ¿Debo intentar restablecer el enrutador/cada dispositivo después de cambiar las reglas? ¿O será casi instantáneo como espero?
Mi objetivo final es tener solo 2 dispositivos a los que se les permita omitir OpenDNS y usar su propio DNS o el de Google.
¡Gracias por la ayuda!
Respuesta1
Agregué el host como todo el rango de IP disponibles (192.168.1.0 - 192.168.1.199) en el puerto 53 y lo llamé "Todos".
Te falta un detalle importante que tiene todo paquete TCP o UDPdosPuertos: remitente y destino. Cuando los hosts de su LAN envían consultas DNS, tienen 192.168.1.x como dirección de origen, peronotenga 53 como puerto de origen. (Tienen 53 como puerto de destino).
Por lo tanto, el filtrado 192.168.1.x:53 -> any:anynunca coincidirá con ninguna consulta de DNS, a menos que sean entrantes a su LAN (es decir, si estácorrerun servidor DNS). El filtro que necesita es 192.168.1.x:any -> any:53, con direcciones IP de LAN en el origen pero el puerto 53 solo en el destino.
(Aparte: a menudo puede especificar toda la LAN (.1 a .255) como una sola 192.168.1.0/24entrada).