ho configurato il mio router per fare da server dns (forwarder) alla lan;
per fare in modo che le query vadano a destinazione ho dovuto
dare accesso a internet: i dns che uso per il forward sono quelli che
mi passa l'ISP quindi ogni tanto cambiano e come ACL ho messo
"access-list 101 permit udp any eq domain any".
Purtoppo ho visto che con questa regola si riesce ad accedere
anche dall'esterno al dns del router sempicemente usando come source port
per la connessione la 53.
Esiste un metodo migliore per proteggere il server dns dall'esterno
ed evitare che chiunque mi possa fare query?
qui sotto riportato la mia configurazione attuale
Codice: Seleziona tutto
....
ip dns server
....
interface Dialer0
ip access-group 101 in
.....
access-list 101 permit udp any eq domain any
access-list 101 deny ip any any
----