Jason Asked: 2017-06-07 06:08:57 +0800 CST2017-06-07 06:08:57 +0800 CST 2017-06-07 06:08:57 +0800 CST 有没有办法控制谁可以访问 DNS 服务器? 772 除了防火墙级别的 IP 白名单之外,是否有可能只允许特定授权人员联系和使用位于公共 IP 上的 DNS 服务器? 如果我正确理解 OSI 模型,如果我没记错的话,你不能使用 MAC 地址。 像 OpenDNS 这样的地方有一个基于订阅的模型,所以我假设有一种可能的方式可以控制谁可以访问你的 DNS 服务器? 目标:这个想法是为具有自定义记录的特定企业/客户设置 DNS 服务器,但也不想让任何人都能够使用 DNS 服务器。 linux 2 个回答 Voted Best Answer wiebel 2017-06-08T01:55:18+08:002017-06-08T01:55:18+08:00 如果您无法将客户端固定到固定 IP 地址,我建议: 看看 dnscrypt,它只允许经过身份验证的 DNS 请求 让您的客户端通过 VPN 连接并重新获得对源 IP 地址的控制权 为您提供客户端当前 IP 地址的解决方案(例如以前的登录或端口敲击)以在您的边界(例如防火墙)上打孔的解决方案并不安全。 唉,所有这些解决方案都需要您的客户端采取一些行动。我不认为你完全透明地解决了这个问题。 Ricky 2017-06-08T01:39:24+08:002017-06-08T01:39:24+08:00 一个非常常见的名称服务器,“绑定”包含对 ACL 的支持以及使用这些 ACL 限制查询和 DNS 递归。简而言之,使用绑定,您可以根据单个 IP 和 IP 范围配置谁可以访问和执行某些类型的查找,完全阻止它们并完全打开它们。 请参阅此处了解更多信息:https ://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-bind-namedconf.html 要回答您的问题,是的,可以在没有防火墙的情况下执行此操作,但是使用防火墙和使用 ACL 并不完全相同,您可能出于一个原因想要使用防火墙(阻止恶意活动)而出于另一个原因使用 ACL(仅设置递归服务器而不是权威 DNS 服务器)。
如果您无法将客户端固定到固定 IP 地址,我建议:
为您提供客户端当前 IP 地址的解决方案(例如以前的登录或端口敲击)以在您的边界(例如防火墙)上打孔的解决方案并不安全。
唉,所有这些解决方案都需要您的客户端采取一些行动。我不认为你完全透明地解决了这个问题。
一个非常常见的名称服务器,“绑定”包含对 ACL 的支持以及使用这些 ACL 限制查询和 DNS 递归。简而言之,使用绑定,您可以根据单个 IP 和 IP 范围配置谁可以访问和执行某些类型的查找,完全阻止它们并完全打开它们。
请参阅此处了解更多信息:https ://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-bind-namedconf.html
要回答您的问题,是的,可以在没有防火墙的情况下执行此操作,但是使用防火墙和使用 ACL 并不完全相同,您可能出于一个原因想要使用防火墙(阻止恶意活动)而出于另一个原因使用 ACL(仅设置递归服务器而不是权威 DNS 服务器)。