할당된 IP 주소를 기반으로 다른 DNS 서버를 사용하기 위해 isc-dhcp-server 구성을 얻으려고 합니다.
기본적으로 내 클라이언트 중 일부를 신뢰할 수 없는 것으로 표시하여 내부 URL을 사용하여 서비스에 액세스하지 못하게 하려고 합니다.
domain-name-servers 옵션을 처리할 수 없는 것 같은 범위 기반 풀을 사용해 보았습니다. 또한 동일한 IP/넷마스크 구성과 범위 지시문을 사용하여 여러 서브넷을 사용해 보았지만 항상 신뢰할 수 없는 DNS가 사용되었습니다. 아래에서 두 구성을 모두 볼 수 있습니다. IP 범위는 단지 예시일 뿐이므로 너무 주의를 기울이지 마세요.
제가 뭘 잘못 이해하고 있는 걸까요?
범위 기반 풀 사용
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
deny unknown-clients;
range 192.168.0.2 192.168.0.50;
option domain-name-servers 192.168.0.254;
}
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.150;
option domain-name-servers 1.1.1.1;
}
}
범위 필터링된 IP/넷마스크 사용
# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
deny unknown-clients;
range 192.168.0.50 192.168.0.99;
}
# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
option domain-name "1.1.1.1";
range 192.168.0.100 192.168.0.149;
}
답변1
모호함을 통한 보안을 기반으로 보안을 구축하지 마십시오.
그만큼적절한이를 구성하는 방법은 방화벽을 사용하여 사용자를 할당된 영역으로 제한하는 별도의 네트워크(물리적으로 또는 VLAN을 사용)입니다.
물론, 별도의 DNS를 사용할 수 있지만~ 아니다DNS를 사용할 수 없다는 점을 보안의 기반으로 삼으세요. 5년 안에 불가능해지기 전에 지금 올바르게 구성하십시오.