Estou tentando obter uma configuração do servidor isc-dhcp para usar diferentes servidores DNS com base no endereço IP atribuído.
Basicamente, quero que alguns dos meus clientes sejam marcados como não confiáveis, e que possam não acessar serviços usando o URL interno.
Tentei usar pools baseados em intervalo, que parecem não ser capazes de lidar com a opção de servidores de nomes de domínio. Também tentei usar várias sub-redes com a mesma configuração de ip/máscara de rede e uma diretiva de intervalo, o que sempre leva ao uso de DNS não confiável. Você pode ver as duas configurações abaixo. As faixas de IP são apenas exemplos, não preste muita atenção a elas.
O que não estou entendendo corretamente?
Usando pools baseados em intervalo
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
deny unknown-clients;
range 192.168.0.2 192.168.0.50;
option domain-name-servers 192.168.0.254;
}
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.150;
option domain-name-servers 1.1.1.1;
}
}
Usando IP/máscara de rede filtrada por intervalo
# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
deny unknown-clients;
range 192.168.0.50 192.168.0.99;
}
# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
option domain-name "1.1.1.1";
range 192.168.0.100 192.168.0.149;
}
Responder1
Não baseie sua segurança na segurança através da obscuridade.
OapropriadoA maneira de configurar isso são redes separadas (fisicamente ou usando VLANs), com firewalls para confinar os usuários às zonas atribuídas.
Claro, você pode usar DNS separado, mas você devenãobaseie sua segurança na indisponibilidade do DNS. Configure-o corretamente agora, antes que seja impossível daqui a cinco anos.