Pagina 1 di 1
Ip dns server... vorrei solo il
Inviato: mar 30 dic , 2008 9:05 pm
da walter48022
Ciao a tutti,
complimenti per il forum e tutte le belle informazioni che mettete a dispozione di tutti.
Posseggo un 877w, e vorrei che i miei client in lan risolvessero i domini interrogando il router e non direttamente i dns pubblici. L'unica maniera che ho trovato e' quello di abilitare l'ip dns server, ma ahime' mi apre la porta 53 sul router, e il mio 877w risolve le richieste di dominio che gli arrivano anche dal dialer0. Mi hanno detto di fare delle access lists estese, ma dovrei contemplare una marea di regole... qualcuno piu' esperto di me mi puo' illuminare con qualche idea o consiglio? Mi basta che faccia solo da dns proxy... grazie a tutti e buone feste!
Inviato: mar 30 dic , 2008 11:35 pm
da netrix
Per abilitare il dns proxy:
Poi specifici quali dns esterni il tuo router deve contattare, es: opendns
Codice: Seleziona tutto
ip name-server 208.67.222.222
ip name-server 208.67.220.220
Ovviamente i tuoi clienti dovranno aver configurato, come DNS, sui loro pc, l'ip interno LAN del tuo router... perche' le richieste vanno fatte al router.
(puoi utilizzare DHCP per farlo o staticamente)
Per quanto riguarda la Dialer0... non so come siano le tue regole, ma dovresti permettere dall'esterno solo le richieste udp in arrivo dai dns interrogati, per esempio con:
e bloccare tutto il resto... (perche' hai l'
ip inspect in per esempio)
Ciao,
Inviato: mer 31 dic , 2008 7:44 pm
da walter48022
netrix ha scritto:Per abilitare il dns proxy:
Poi specifici quali dns esterni il tuo router deve contattare, es: opendns
Codice: Seleziona tutto
ip name-server 208.67.222.222
ip name-server 208.67.220.220
Ovviamente i tuoi clienti dovranno aver configurato, come DNS, sui loro pc, l'ip interno LAN del tuo router... perche' le richieste vanno fatte al router.
(puoi utilizzare DHCP per farlo o staticamente)
Per quanto riguarda la Dialer0... non so come siano le tue regole, ma dovresti permettere dall'esterno solo le richieste udp in arrivo dai dns interrogati, per esempio con:
e bloccare tutto il resto... (perche' hai l'
ip inspect in per esempio)
Ciao,
ok grazie per l'interessamento, mi sono studiato un po' le access list e cosi' funge e tiene bloccata la 53 dei dns sul dialer0, per il resto non ho porte aperte.
access-list 105 permit igmp any any
access-list 105 permit udp any eq bootps any eq bootpc
access-list 105 permit udp any eq bootpc any eq bootps
access-list 105 permit icmp any any
access-list 105 permit udp host 208.67.222.222 eq domain any
access-list 105 permit udp host 208.67.220.220 eq domain any
access-list 105 permit tcp host 208.67.222.222 eq domain any
access-list 105 permit tcp host 208.67.220.220 eq domain any
access-list 105 permit udp any any eq ntp
access-list 105 permit tcp any any established
access-list 105 deny ip any any log