Wechsel des DNS-Servers unterbinden
Hallo zusammen,
eine grundsätzliche Frage:
Ist es möglich zu unterbinden, dass die Clients im Netzwerk in ihren DNS-Server-Einstellungen einen öffentlichen DNS-Server (wie z.B. 8.8.8.8) eingeben können?
Also praktisch will ich einfach eine Regel haben, dass alle Clients im Netzwerk nur Internet haben, wenn sie den lokalen DNS-Server nutzen.
Als einzige Lösung fiele mir ein, dass ich alle öffentlichen DNS-Server in der Firewall manuell sperre. Das wäre ein enormer Aufwand... Gibt es da Erfahrungen?
Als Router wird ein Lancom-1781EF+ eingesetzt.
Vielen Dank
eine grundsätzliche Frage:
Ist es möglich zu unterbinden, dass die Clients im Netzwerk in ihren DNS-Server-Einstellungen einen öffentlichen DNS-Server (wie z.B. 8.8.8.8) eingeben können?
Also praktisch will ich einfach eine Regel haben, dass alle Clients im Netzwerk nur Internet haben, wenn sie den lokalen DNS-Server nutzen.
Als einzige Lösung fiele mir ein, dass ich alle öffentlichen DNS-Server in der Firewall manuell sperre. Das wäre ein enormer Aufwand... Gibt es da Erfahrungen?
Als Router wird ein Lancom-1781EF+ eingesetzt.
Vielen Dank
Please also mark the comments that contributed to the solution of the article
Content-Key: 517076
Url: https://administrator.de/contentid/517076
Printed on: April 23, 2024 at 07:04 o'clock
10 Comments
Latest comment
Zitat von @Momo1412:
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln
Gruß
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln
Gruß
Was machst du denn zum Beispiel mit mobilen Geräten?
Deswegen haben ich den Port mal test weise umgebogen, da Android gerne mit Google DNS Server spricht.
@Spirit-of-Eli
Ah ok, das leuchtet selbstverständlich ein!
Ah ok, das leuchtet selbstverständlich ein!
Moin,
Mit DNSSec passiert da gar nichts. DNSSec wird vom Authorativen DNS Server aus nach unten weitergegeben. Wer das weitergibt ist egal.
Allerdings sind diese Umleitungen mitunter das arschigste was man bauen kann, denn man nutzt hier im Grunde einen Angriffsvektor auf DNS aus. Ein Grund warum ich für mehr DoH oder DoT plädiere. Wessen DNS Server ein gerät benutzt ist Sache des Systemadministrators, nicht des Netzwerks. Wenn ein Netzwerk meint es muss DNS blocken, OK, aber einfach unterm Hintern weg den DNS Server austauschen ist sehr unhöflich.
Anyway…
Gruß
Chris
Zitat von @Spirit-of-Eli:
Moin,
etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.
Moin,
etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.
Mit DNSSec passiert da gar nichts. DNSSec wird vom Authorativen DNS Server aus nach unten weitergegeben. Wer das weitergibt ist egal.
Allerdings sind diese Umleitungen mitunter das arschigste was man bauen kann, denn man nutzt hier im Grunde einen Angriffsvektor auf DNS aus. Ein Grund warum ich für mehr DoH oder DoT plädiere. Wessen DNS Server ein gerät benutzt ist Sache des Systemadministrators, nicht des Netzwerks. Wenn ein Netzwerk meint es muss DNS blocken, OK, aber einfach unterm Hintern weg den DNS Server austauschen ist sehr unhöflich.
Anyway…
Gruß
Chris