Ciao a tutti,
complimenti per il forum e tutte le belle informazioni che mettete a dispozione di tutti.
Posseggo un 877w, e vorrei che i miei client in lan risolvessero i domini interrogando il router e non direttamente i dns pubblici. L'unica maniera che ho trovato e' quello di abilitare l'ip dns server, ma ahime' mi apre la porta 53 sul router, e il mio 877w risolve le richieste di dominio che gli arrivano anche dal dialer0. Mi hanno detto di fare delle access lists estese, ma dovrei contemplare una marea di regole... qualcuno piu' esperto di me mi puo' illuminare con qualche idea o consiglio? Mi basta che faccia solo da dns proxy... grazie a tutti e buone feste!
Ip dns server... vorrei solo il
Moderatore: Federico.Lagni
-
netrix
- n00b
- Messaggi: 7
- Iscritto il: dom 28 dic , 2008 10:49 am
Per abilitare il dns proxy:
Poi specifici quali dns esterni il tuo router deve contattare, es: opendns
Ovviamente i tuoi clienti dovranno aver configurato, come DNS, sui loro pc, l'ip interno LAN del tuo router... perche' le richieste vanno fatte al router.
(puoi utilizzare DHCP per farlo o staticamente)
Per quanto riguarda la Dialer0... non so come siano le tue regole, ma dovresti permettere dall'esterno solo le richieste udp in arrivo dai dns interrogati, per esempio con:
e bloccare tutto il resto... (perche' hai l'ip inspect in per esempio)
Ciao,
Codice: Seleziona tutto
ip dns serverCodice: Seleziona tutto
ip name-server 208.67.222.222
ip name-server 208.67.220.220(puoi utilizzare DHCP per farlo o staticamente)
Per quanto riguarda la Dialer0... non so come siano le tue regole, ma dovresti permettere dall'esterno solo le richieste udp in arrivo dai dns interrogati, per esempio con:
Codice: Seleziona tutto
permit udp any eq domain anyCiao,
netrix
-
walter48022
- Cisco fan
- Messaggi: 67
- Iscritto il: dom 20 mar , 2005 1:31 am
ok grazie per l'interessamento, mi sono studiato un po' le access list e cosi' funge e tiene bloccata la 53 dei dns sul dialer0, per il resto non ho porte aperte.netrix ha scritto:Per abilitare il dns proxy:Poi specifici quali dns esterni il tuo router deve contattare, es: opendnsCodice: Seleziona tutto
ip dns serverOvviamente i tuoi clienti dovranno aver configurato, come DNS, sui loro pc, l'ip interno LAN del tuo router... perche' le richieste vanno fatte al router.Codice: Seleziona tutto
ip name-server 208.67.222.222 ip name-server 208.67.220.220
(puoi utilizzare DHCP per farlo o staticamente)
Per quanto riguarda la Dialer0... non so come siano le tue regole, ma dovresti permettere dall'esterno solo le richieste udp in arrivo dai dns interrogati, per esempio con:e bloccare tutto il resto... (perche' hai l'ip inspect in per esempio)Codice: Seleziona tutto
permit udp any eq domain any
Ciao,
access-list 105 permit igmp any any
access-list 105 permit udp any eq bootps any eq bootpc
access-list 105 permit udp any eq bootpc any eq bootps
access-list 105 permit icmp any any
access-list 105 permit udp host 208.67.222.222 eq domain any
access-list 105 permit udp host 208.67.220.220 eq domain any
access-list 105 permit tcp host 208.67.222.222 eq domain any
access-list 105 permit tcp host 208.67.220.220 eq domain any
access-list 105 permit udp any any eq ntp
access-list 105 permit tcp any any established
access-list 105 deny ip any any log
