Я пытаюсь получить конфигурацию isc-dhcp-server для использования разных DNS-серверов на основе назначенного ip-адреса.
По сути, я хочу, чтобы некоторые мои клиенты были помечены как недоверенные, которые затем не смогут получить доступ к службам с использованием внутреннего URL-адреса.
Я пробовал использовать пулы на основе диапазонов, которые, похоже, не могут обрабатывать опцию domain-name-servers. Я также пробовал использовать несколько подсетей с одинаковой конфигурацией ip/сетевой маски и директивой диапазона, что всегда приводит к использованию недоверенных dns. Вы можете увидеть обе конфигурации ниже. Диапазоны IP-адресов — это всего лишь примеры, не обращайте на них слишком много внимания.
Что я не понимаю правильно?
Использование пулов на основе диапазонов
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
deny unknown-clients;
range 192.168.0.2 192.168.0.50;
option domain-name-servers 192.168.0.254;
}
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.150;
option domain-name-servers 1.1.1.1;
}
}
Использование диапазона отфильтрованных IP/сетевой маски
# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
deny unknown-clients;
range 192.168.0.50 192.168.0.99;
}
# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
option domain-name "1.1.1.1";
range 192.168.0.100 192.168.0.149;
}
решение1
Не основывайте свою безопасность на безопасности через неизвестность.
TheправильныйДля этого можно использовать отдельные сети (физически или с использованием VLAN) с брандмауэрами, ограничивающими пользователей назначенными им зонами.
Конечно, вы можете использовать отдельный DNS, но вам следуетнетОсновывайте свою безопасность на недоступности DNS. Настройте его правильно сейчас, пока это не стало невозможным через пять лет.