Рейтинг:0

isc-dhcp-server ip-range speicifc доменное имя-сервер

флаг cn

Я пытаюсь получить конфигурацию isc-dhcp-server для использования разных DNS-серверов на основе назначенного IP-адреса.
По сути, я хочу, чтобы некоторые из моих клиентов были помечены как ненадежные, которые затем не могут получить доступ к службам с использованием внутреннего URL-адреса.
Я попытался использовать пулы на основе диапазона, которые, похоже, не могут обрабатывать параметр серверов доменных имен. Я также пытался использовать несколько подсетей с одинаковой конфигурацией ip/netmask и директивой диапазона, что всегда приводит к использованию ненадежного DNS. Вы можете увидеть оба конфига ниже.Диапазоны IP-адресов являются лишь примерами, не обращайте на них слишком много внимания.

Что я не правильно понимаю?

Использование пулов на основе диапазонов

подсеть 192.168.1.0 сетевая маска 255.255.255.0 {
бассейн {
    запретить неизвестных клиентов;
    диапазон 192.168.0.2 192.168.0.50;
    вариант доменных имен-серверов 192.168.0.254;
    }
бассейн {
    разрешить неизвестных клиентов;
    диапазон 192.168.0.100 192.168.0.150;
    вариант доменных имен-серверов 1.1.1.1;
    }
}

Использование IP-адреса/маски сети с фильтрацией по диапазону

# Доверенный
подсеть 192.168.0.0 сетевая маска 255.255.255.0 {
    вариант доменных имен-серверов 192.168.0.254;
    запретить неизвестных клиентов;
    диапазон 192.168.0.50 192.168.0.99;
    }

# Ненадежный
подсеть 192.168.0.0 сетевая маска 255.255.255.0 {
    запретить неизвестных клиентов;
    вариант доменного имени "1.1.1.1";
    диапазон 192.168.0.100 192.168.0.149;
    }
Рейтинг:0
флаг ar

Не основывайте свою безопасность на безопасности через неизвестность.

правильный способ настроить это - отдельные сети (либо физически, либо с использованием VLAN) с брандмауэрами, чтобы ограничить пользователей назначенными им зонами.

Конечно, вы можете использовать отдельный DNS, но вам следует нет базируйте свою безопасность на недоступности DNS. Настройте его должным образом сейчас, прежде чем это будет невозможно через пять лет.

Poehli avatar
флаг cn
Согласен, так лучше из соображений безопасности. Однако я просто хочу, чтобы никто не входил в мою личную сеть и не имел доступа к домашнему серверу. Я понимаю, что это не функция безопасности, а скорее удобство. Бюджета на отдельную физическую сеть нет. Вариант vlan, о котором я не подумал. Я проверю, решит ли это мою проблему. Я все еще хотел бы знать, могу ли я переключать DNS на основе IP-адресов, если больше ничего не нужно для удовлетворения моего любопытства;)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.