Windows DNS-сервер рекурсивное решение проблемы с политикой DNS
Я использую политику DNS с Windows DNS Server. В моем сценарии я хочу разрешить рекурсивные запросы в локальной подсети (192.168.1.0/24) и запретить для других.
Он отлично работает, пока не запросит домен (example.com) из локальной подсети. После разрешения с локального он начинает разрешать для всех ips. Я думаю, что это выглядит первым кешем и отвечает сразу, не глядя на политику.
Как я могу запретить рекурсивные запросы в кеше для внешних ips?
Вот мои подробности политики.
Add-DnsServerClientSubnet -Name ServersSubnet -IPv4Subnet 192.168.1.0/24
Add-DnsServerClientSubnet -Name LoopBackSubnet -IPv4Subnet 127.0.0.0/8 -IPv6Subnet ::1/128
Set-DnsServerRecursionScope -Name . -EnableRecursion $False
Add-DnsServerRecursionScope -Name "InternalClients" -EnableRecursion $True -Forwarder 208.26.222.222, 208.67.220.220
Add-DnsServerQueryResolutionPolicy -Name "SplitBrainRecursionPolicy" -Action ALLOW -ApplyOnRecursion -RecursionScope "InternalClients" -ClientSubnet "eq,ServersSubnet,LoopBackSubnet"
1 ответ
Вопрос в том, хотите ли вы заблокировать разрешение example.com для внешних клиентов? Политики рекурсии, определяют, будет ли DNS-сервер обрабатываться для внешних клиентов или нет. С политиками, которые вы создали выше, он не будет повторяться. Но он все равно продолжит отвечать из кеша. Если вы хотите заблокировать разрешение имен для внешних клиентов, сделайте это Add-DnsServerQueryResolutionPolicy -Name "SplitBrainDenyPolicy" -Action DENY- -ClientSubnet "ne,ServersSubnet,LoopBackSubnet"
Обратите внимание, я использую здесь "ne". Вы также можете использовать критерии -ServerInterface, чтобы различать внутренних и внешних клиентов.
Ашу [Я разработал политику DNS]
~