我正在尝试帮助拥有瞻博网络 SRX550 的人。我们要做的是阻止 DHCP 池上的出站端口 53,并且只阻止出站端口 53,除了为 DHCP 池设置的名称服务器(在这种情况下,IP 设置为 OpenDNS,但我没有认为这是相关的。
set system services dhcp pool 10.0.0.0/24 name-server 208.67.222.222
设置名称服务器,但我一直无法找到阻止不去 OpenDNS 服务器的出站 DNS 的方法。
这是当前配置的样子:
dhcp {
pool 10.0.0.0/24 {
address-range low 10.0.0.10 high 10.0.0.254;
name-server {
208.67.222.222;
208.67.220.220;
}
router {
10.0.0.1;
}
}
}
添加防火墙规则,拒绝端口 53 访问除 OpenDNS 服务器之外的所有 IP。
设置安全策略 from-zone "DHCP 范围区域的名称" to-zone "您的 DNS 服务器区域的名称" match source-address "地址列表中 DHCP 范围的名称"
设置安全策略 from-zone "DHCP 范围区域的名称" to-zone "您的 DNS 服务器区域的名称" match destination-address "地址列表中的 DNS 服务器名称"
设置安全策略从区域“DHCP 范围区域的名称”到区域“DNS 服务器区域的名称”匹配应用程序 [junos-dns-tcp junos-dns-udp]
设置安全策略从区域“DHCP 范围区域的名称”到区域“DNS 服务器区域的名称”然后允许
设置安全策略全局策略 DNS_Block 匹配源地址“地址列表中 DHCP 范围的名称”
设置安全策略全局策略 DNS_Block 匹配应用程序 [junos-dns-tcp junos-dns-udp]
设置安全策略全局策略 DNS_Block 然后拒绝