我正在嘗試獲取 isc-dhcp-server 配置以根據分配的 IP 位址使用不同的 DNS 伺服器。
基本上,我希望我的一些用戶端被標記為不可信,這樣它們就可能無法使用內部 URL 存取服務。
我嘗試使用基於範圍的池,它似乎無法處理網域名稱伺服器選項。我還嘗試使用具有相同 ip/netmask 配置和範圍指令的多個子網,這總是導致使用不受信任的 dns。您可以在下面看到這兩個配置。 IP範圍只是範例,不必太在意。
我理解不正確是什麼?
使用基於範圍的池
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
deny unknown-clients;
range 192.168.0.2 192.168.0.50;
option domain-name-servers 192.168.0.254;
}
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.150;
option domain-name-servers 1.1.1.1;
}
}
使用範圍過濾 ip/網路掩碼
# Trusted
subnet 192.168.0.0 netmask 255.255.255.0 {
option domain-name-servers 192.168.0.254;
deny unknown-clients;
range 192.168.0.50 192.168.0.99;
}
# Untrusted
subnet 192.168.0.0 netmask 255.255.255.0 {
deny unknown-clients;
option domain-name "1.1.1.1";
range 192.168.0.100 192.168.0.149;
}
答案1
不要將您的安全性建立在默默無聞的安全性之上。
這恰當的配置此功能的方法是使用單獨的網路(實體或使用 VLAN),並使用防火牆將使用者限制在其指定的區域中。
當然,您可以使用單獨的 DNS,但您應該不是將您的安全性建立在 DNS 不可用的基礎上。現在就正確配置它,否則五年後就不可能了。