Спасибо всем, кто уделил время прочтению этого, у меня маршрутизатор ac750 archer c2, и я использую OpenDNS. Я установил DNS для WAN на серверах OpenDNS и пытаюсь следовать их инструкциям по РАЗРЕШЕНИЮ TCP/UDP ВХОДА/ВЫХОДА на 208.67.222.222 или 208.67.220.220 на порту 53 и БЛОКИРОВКЕ TCP/UDP ВХОДА/ВЫХОДА всех IP-адресов на порту 53. Я добавил хост как весь диапазон доступных IP-адресов (192.168.1.0 - 192.168.1.199) на порту 53 и назвал его "All", а целью является сервер OpenDNS № 1 (208.67.222.222) с именем "OpenDNS1". Я просто сосредоточился на том, чтобы один работал правильно, затем добавлю второй. Тогда для расписания я выбрал все доступное время 24/7.
Вот таблица в списке управления маршрутизатором на данный момент:
Description: LAN Host: Target: Schedule: Rule: Status:
Allow DNS IN Any Host OpenDNS1 Any Time Allow Enabled
Allow DNS out Any Host OpenDNS1 Any Time Allow Enabled
all in All Any Host Any Time Deny Enabled
all out All Any Host Any Time Deny Enabled
Я много игрался с правилами, в какой-то момент я мог использовать сервер OpenDNS, если мой ПК был настроен на автоматическую установку DNS, но если я изменю его на DNS Google 8.8.8.8, то он обойдет OpenDNS и покажет контент для взрослых и все такое, что мне не нужно. Раньше у меня был включен ipv6, и я получал странные результаты, затем, когда я отключил ipv6, он заработал, пока я не изменил DNS.
Я очищал кэш DNS Resolver через ipconfig /flushdns, но это, похоже, не помогает. Я могу немного нервничать, когда пробую разные правила, стоит ли мне попробовать сбросить настройки маршрутизатора/каждого устройства после изменения правил? Или это будет почти мгновенно, как я надеюсь?
Моя конечная цель — иметь только 2 устройства, которым разрешено обходить OpenDNS и использовать свой собственный/Google DNS.
Спасибо за помощь!
решение1
Я добавил хост как весь диапазон доступных IP-адресов (192.168.1.0 - 192.168.1.199) на порту 53 и назвал его «Все».
Вы упускаете важную деталь, которую имеет каждый пакет TCP или UDP.двапорты: отправитель и получатель. Когда ваши хосты локальной сети отправляют DNS-запросы, у них есть 192.168.1.x в качестве исходного адреса, но онинеимеют 53 в качестве исходного порта. (У них 53 в качестве порта назначения.)
Таким образом, фильтрация 192.168.1.x:53 -> any:anyникогда не будет соответствовать DNS-запросам, если только они не являются входящими в вашу локальную сеть (т. е. если выбегDNS-сервер). Вам нужен фильтр 192.168.1.x:any -> any:53с IP-адресами локальной сети на источнике, но только с портом 53 на цели.
(Примечание: часто можно указать всю локальную сеть (от .1 до .255) как одну 192.168.1.0/24запись.)