Die Einzelheiten der Zugangsliste hängen von Ihrer Netzwerkausrüstung (Cisco, Wacholder usw.) und der Art der Zugriffsliste (Standard oder erweitert) ab. Hier sind Beispiele für Cisco iOS -Geräte, das häufigste Szenario:

Verwenden einer erweiterten Zugangsliste (empfohlen): Mit erweiterten Zugriffslisten können Sie basierend auf der IP-Adresse, dem Protokoll und dem Port der Quell-/Ziel-IP-Adresse filtern. Dies ist weitaus präziser und sicherer als eine Standard-Zugangsliste.

`` `

Access-List erweiterte Deny_dns_53 verweigern Sie TCP beliebig alle EQ 53

Access-List erweiterte Deny_dns_53 verweigern udp beliebig EQ 53

`` `

Dadurch wird eine erweiterte Zugangsliste mit dem Namen "Deny_DNS_53" erstellt. Die Zeilen machen Folgendes:

* `Leugnen Sie TCP alle EQ 53`:verweigern den TCP -Verkehr an Port 53 (verwendet für einige DNS -Abfragen). `beliebig" bedeutet jede Quelle und Ziel -IP -Adresse.

* `udp beliebige EQ 53`:verweigert den UDP -Verkehr an Port 53 (den für DNS verwendeten primären Port). `Jeder 'bedeutet erneut jede Quelle und Ziel -IP -Adresse.

Anwenden der Zugangsliste: Diese Zugriffsliste muss beispielsweise auf eine Schnittstelle angewendet werden:

`` `

Schnittstelle GigabitEthernet0/0

IP Access-Group Deny_dns_53 Out

`` `

Dies wendet die Zugangsliste auf den ausgehenden Verkehr der Schnittstelle `gigabitEthernet0/0` an. Ändern Sie "out", um den Inbound -Verkehr zu filtern. Ersetzen Sie `gigabitEthernet0/0` durch die tatsächliche Schnittstelle, die Sie steuern möchten.

Verwenden einer Standardzugriffsliste (weniger präzise, im Allgemeinen nicht empfohlen): Standard-Zugriffslisten filtern nur basierend auf Quell-IP-Adressen. Sie können den Port nur mit einer Standard-Zugriffsliste angeben, sodass er für diese bestimmte Aufgabe nicht geeignet ist, es sei denn, Sie möchten den Datenverkehr von einem bestimmten IP *vollständig *verweigern, unabhängig vom Port. Es wäre viel breiter und würde eher den legitimen Verkehr stören. Vermeiden Sie diesen Ansatz für die DNS -Filterung.

Wichtige Überlegungen:

* Platzierung: Überlegen Sie sorgfältig, wo Sie die Zugangsliste anwenden. Wenn Sie es zu allgemein anwenden, können Sie Ihre eigene DNS -Auflösung stören. Es ist oft am besten, sie auf eine Schnittstelle anzuwenden, die näher an den Geräten oder Benutzern, die Sie einschränken möchten, näher anwenden.

* interne DNS: Wenn Sie einen internen DNS -Server haben, stellen Sie sicher, dass diese Zugriffsliste nicht beeinflusst wird. Möglicherweise benötigen Sie zusätzliche Regeln, um den Verkehr zu und von Ihrem internen DNS -Server zuzulassen.

* Andere Ports: DNS kann manchmal andere Ports verwenden. Während 53 der Standard ist, müssen Sie möglicherweise zusätzliche Regeln berücksichtigen, wenn Sie vermuten, dass alternative Ports verwendet werden.

* Firewall: Betrachten Sie eine Firewall (wie Pfsense, Opnsense oder eine dedizierte Hardware -Firewall) für eine robustere und anspruchsvollere Netzwerksicherheit. Firewalls bieten im Allgemeinen fortgeschrittenere Funktionen für die Steuerung des Verkehrs als einfache Zugriffslisten.

Testen Sie immer Ihre Änderungen der Zugriffsliste in einer Testumgebung, bevor Sie sie auf Ihr Produktionsnetzwerk anwenden. Falsch konfigurierte Zugriffslisten können die Netzwerkkonnektivität stark stören.