シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ルータのオープンリゾルバ対策

インターネットからアクセス可能なルータにおいて IOS の DNSサーバー機能を有効にしている場合、ルータが意図せずにオープンリゾルバとして動作してしいる可能性があります。
本ドキュメントでは DNSサーバとして動作しているルータのオープンリゾルバ問題を回避する為の設定例を紹介します。

1) 全てのDNSクエリを破棄したい場合

以下のエントリを含むアクセスリストをルータのインターネット側インタフェースに設定することで回避することができます。
access-list 100 deny udp any any eq domain
access-list 100 deny tcp any any eq domain

2) 特定のドメインのリソースへのDNSクエリのみ応答したい場合

DNS view をインターネット側インタフェースに設定することで、特定ドメイン( 自社ドメイン等 )のリソースへの DNSクエリにのみ応答し、それ以外を破棄させることが可能です。この設定例では、example.com のリソースへの DNSクエリのみを許可する DNS view-list、INTERNET をインターネット側のインタフェースである Dialer1 に適用しています。
ip dns name-list 1 permit example.com
!
ip dns view-list INTERNET
view default 10
restrict name-group 1
!
interface Dialer1
ip dns view-group INTERNET

  • タグ付けされた記事をさらに検索:
522
閲覧回数
5
いいね!
0
コメント