インターネットからアクセス可能なルータにおいて IOS の DNSサーバー機能を有効にしている場合、ルータが意図せずにオープンリゾルバとして動作してしいる可能性があります。
本ドキュメントでは DNSサーバとして動作しているルータのオープンリゾルバ問題を回避する為の設定例を紹介します。
1) 全てのDNSクエリを破棄したい場合
以下のエントリを含むアクセスリストをルータのインターネット側インタフェースに設定することで回避することができます。
access-list 100 deny udp any any eq domain
access-list 100 deny tcp any any eq domain
2) 特定のドメインのリソースへのDNSクエリのみ応答したい場合
DNS view をインターネット側インタフェースに設定することで、特定ドメイン( 自社ドメイン等 )のリソースへの DNSクエリにのみ応答し、それ以外を破棄させることが可能です。この設定例では、example.com のリソースへの DNSクエリのみを許可する DNS view-list、INTERNET をインターネット側のインタフェースである Dialer1 に適用しています。
ip dns name-list 1 permit example.com
!
ip dns view-list INTERNET
view default 10
restrict name-group 1
!
interface Dialer1
ip dns view-group INTERNET