我想将 NSG 配置为将端口 53 列入我的内部 DNS 服务器的白名单,以及位于 168.63.129.16 的 Azure 平台 DNS,但阻止所有其他出站 DNS 连接。
我发现讨论(没有官方文档)说 DNS 流量是经过特殊处理的,因此对任何地方的通用拒绝所有出站规则都不起作用(参考 1,参考 2)。这也与我的测试一致。具体来说,这里有一些我尝试过的不能阻止 DNS 流量的出站拒绝规则:
资源 | 源端口 | 目的地 | 目的港 | 协议 |
---|---|---|---|---|
任何 | * | 任何 | * | 任何 |
任何 | * | 任何 | 53 | 任何 |
任何 | * | <具体_IP> | * | 任何 |
任何 | * | <具体_IP> | 53 | 任何 |
以下是有效的方法:
资源 | 源端口 | 目的地 | 目的港 | 协议 |
---|---|---|---|---|
任何 | * | ServiceTag => AzurePlatformDNS | * | 任何 |
但是,这会阻止到我的内部 DNS 和位于 168.63.129.16 的 Azure 平台 DNS 的流量。我可以为我的内部 DNS 设置白名单规则,但将 168.63.129.16 列入白名单似乎不起作用。
有什么方法可以专门完成我正在寻找的东西吗?(特定 IP 和 Azure 平台 DNS 的白名单)
最后,Azure 通过通用阻止所有出站 NSG 规则是否有任何其他特殊漏洞,是否有任何记录这些漏洞的地方?