0

我想将 NSG 配置为将端口 53 列入我的内部 DNS 服务器的白名单,以及位于 168.63.129.16 的 Azure 平台 DNS,但阻止所有其他出站 DNS 连接。

我发现讨论(没有官方文档)说 DNS 流量是经过特殊处理的,因此对任何地方的通用拒绝所有出站规则都不起作用(参考 1参考 2)。这也与我的测试一致。具体来说,这里有一些我尝试过的不能阻止 DNS 流量的出站拒绝规则:

资源 源端口 目的地 目的港 协议
任何 * 任何 * 任何
任何 * 任何 53 任何
任何 * <具体_IP> * 任何
任何 * <具体_IP> 53 任何

以下是有效的方法:

资源 源端口 目的地 目的港 协议
任何 * ServiceTag => AzurePlatformDNS * 任何

但是,这会阻止到我的内部 DNS 和位于 168.63.129.16 的 Azure 平台 DNS 的流量。我可以为我的内部 DNS 设置白名单规则,但将 168.63.129.16 列入白名单似乎不起作用。

有什么方法可以专门完成我正在寻找的东西吗?(特定 IP 和 Azure 平台 DNS 的白名单)

最后,Azure 通过通用阻止所有出站 NSG 规则是否有任何其他特殊漏洞,是否有任何记录这些漏洞的地方?

4

0 回答 0