Estoy intentando obtener una configuración del servidor isc-dhcp para usar diferentes servidores DNS según la dirección IP asignada.
Básicamente, quiero que algunos de mis clientes se marquen como no confiables, lo que luego no podrá acceder a los servicios utilizando la URL interna.
Intenté usar grupos basados en rangos, que no parecen ser capaces de manejar la opción de servidores de nombres de dominio. También intenté usar múltiples subredes con la misma configuración de ip/máscara de red y una directiva de rango, lo que siempre conduce al uso de DNS que no son de confianza. Puedes ver ambas configuraciones a continuación. Los rangos de IP son sólo ejemplos, no les prestes demasiada atención.
¿Qué no estoy entendiendo correctamente?
Usar grupos basados en rangos
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
deny unknown-clients;
range 192.168.0.2 192.168.0.50;
option domain-name-servers 192.168.0.254;
}
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.150;
option domain-name-servers 1.1.1.1;
}
}
Usando IP/máscara de red filtrada por rango
# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
deny unknown-clients;
range 192.168.0.50 192.168.0.99;
}
# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
option domain-name "1.1.1.1";
range 192.168.0.100 192.168.0.149;
}
Respuesta1
No base su seguridad en la seguridad a través de la oscuridad.
EladecuadoLa forma de configurar esto son redes separadas (ya sea físicamente o usando VLAN), con firewalls para confinar a los usuarios a sus zonas asignadas.
Claro, puedes usar DNS separados, pero deberíasnoBase su seguridad en que el DNS no esté disponible. Configurarlo correctamente ahora, antes de que sea imposible dentro de cinco años.