Question

我正在努力帮助拥有Juniper SRX550的人。我们要做的是阻止DHCP池上的出站端口53，只阻止出站端口53，除了为DHCP池设置的名称服务器（在这种情况下，IP设置为OpenDNS，但我不认为这是相关的。

set system services dhcp pool 10.0.0.0/24 name-server 208.67.222.222

设置名称服务器，但我一直无法找到阻止未转到OpenDNS服务器的出站DNS的方法。

这是配置目前的样子：

dhcp {
    pool 10.0.0.0/24 {
        address-range low 10.0.0.10 high 10.0.0.254;
        name-server {
            208.67.222.222;
            208.67.220.220;
        }
        router {
            10.0.0.1;
        }
    }
}

Answer 1

添加防火墙规则，拒绝端口53访问OpenDNS服务器以外的所有IP。

Answer 2

从区域设置安全策略＆＃34; DHCP范围区域的名称＆＃34; to-zone＆＃34;您的DNS服务器区域的名称＆＃34;匹配源地址＆＃34;地址列表中的DHCP范围名称＆＃34;

从区域设置安全策略＆＃34; DHCP范围区域的名称＆＃34; to-zone＆＃34;您的DNS服务器区域的名称＆＃34;匹配目标地址＆＃34;地址列表中的DNS服务器名称＆＃34;

从区域设置安全策略＆＃34; DHCP范围区域的名称＆＃34; to-zone＆＃34;您的DNS服务器区域的名称＆＃34;匹配申请[junos-dns-tcp junos-dns-udp]

从区域设置安全策略＆＃34; DHCP范围区域的名称＆＃34; to-zone＆＃34;您的DNS服务器区域的名称＆＃34;然后允许

设置安全策略全局策略DNS_Block匹配源地址＆＃34;地址列表中的DHCP范围名称＆＃34;

设置安全策略全局策略DNS_Block匹配应用程序[junos-dns-tcp junos-dns-udp]

设置安全策略全局策略DNS_Block然后拒绝

阻止Juniper

2 个答案: