10
Wechsel des DNS-Servers unterbinden
Hallo zusammen,
eine grundsätzliche Frage:
Ist es möglich zu unterbinden, dass die Clients im Netzwerk in ihren DNS-Server-Einstellungen einen öffentlichen DNS-Server (wie z.B. 8.8.8.8) eingeben können?
Also praktisch will ich einfach eine Regel haben, dass alle Clients im Netzwerk nur Internet haben, wenn sie den lokalen DNS-Server nutzen.
Als einzige Lösung fiele mir ein, dass ich alle öffentlichen DNS-Server in der Firewall manuell sperre. Das wäre ein enormer Aufwand... Gibt es da Erfahrungen?
Als Router wird ein Lancom-1781EF+ eingesetzt.
Vielen Dank
eine grundsätzliche Frage:
Ist es möglich zu unterbinden, dass die Clients im Netzwerk in ihren DNS-Server-Einstellungen einen öffentlichen DNS-Server (wie z.B. 8.8.8.8) eingeben können?
Also praktisch will ich einfach eine Regel haben, dass alle Clients im Netzwerk nur Internet haben, wenn sie den lokalen DNS-Server nutzen.
Als einzige Lösung fiele mir ein, dass ich alle öffentlichen DNS-Server in der Firewall manuell sperre. Das wäre ein enormer Aufwand... Gibt es da Erfahrungen?
Als Router wird ein Lancom-1781EF+ eingesetzt.
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 517076
Url: https://administrator.de/contentid/517076
Printed on: April 23, 2024 at 07:04 o'clock
10 Comments
Latest comment
Moin. Port 53 einfach nur für die internen DNS freischalten.
Immer nur das erlauben was nötig ist.
Grüße Henere
Immer nur das erlauben was nötig ist.
Grüße Henere
Boah.... manchmal übersieht man einfach das Offensichtliche....
Werde mal Port 53 und 853 sperren und dann mal sehen.
Sorry für die dumme Frage
Werde mal Port 53 und 853 sperren und dann mal sehen.
Sorry für die dumme Frage
Noch ein Tipp zur Firewall.
Prinzipiell ist alles verboten, was Du nicht explizit erlaubst.
Nicht umgekehrt, das läßt zu viele Lücken offen.
Prinzipiell ist alles verboten, was Du nicht explizit erlaubst.
Nicht umgekehrt, das läßt zu viele Lücken offen.
Moin,
etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.
Gruß
Spirit
etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.
Gruß
Spirit
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln
Gruß
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln
Gruß
Zitat von @Momo1412:
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln
Gruß
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln
Gruß
Was machst du denn zum Beispiel mit mobilen Geräten?
Deswegen haben ich den Port mal test weise umgebogen, da Android gerne mit Google DNS Server spricht.
@Spirit-of-Eli
Ah ok, das leuchtet selbstverständlich ein!
Ah ok, das leuchtet selbstverständlich ein!
Ich würde eher die Anfrage auf deinen internen DNS umleiten. Dein eigener DNS muss dann aber trotzdem raus können
Kein direkter Internetzugriff mehr, wenn es nicht unbedingt nötig ist. Das sind dann Ausnahmen. Lieber einen Proxy einrichten und alles darüber schicken.
Moin,
Mit DNSSec passiert da gar nichts. DNSSec wird vom Authorativen DNS Server aus nach unten weitergegeben. Wer das weitergibt ist egal.
Allerdings sind diese Umleitungen mitunter das arschigste was man bauen kann, denn man nutzt hier im Grunde einen Angriffsvektor auf DNS aus. Ein Grund warum ich für mehr DoH oder DoT plädiere. Wessen DNS Server ein gerät benutzt ist Sache des Systemadministrators, nicht des Netzwerks. Wenn ein Netzwerk meint es muss DNS blocken, OK, aber einfach unterm Hintern weg den DNS Server austauschen ist sehr unhöflich.
Anyway…
Gruß
Chris
Zitat von @Spirit-of-Eli:
Moin,
etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.
Moin,
etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.
Mit DNSSec passiert da gar nichts. DNSSec wird vom Authorativen DNS Server aus nach unten weitergegeben. Wer das weitergibt ist egal.
Allerdings sind diese Umleitungen mitunter das arschigste was man bauen kann, denn man nutzt hier im Grunde einen Angriffsvektor auf DNS aus. Ein Grund warum ich für mehr DoH oder DoT plädiere. Wessen DNS Server ein gerät benutzt ist Sache des Systemadministrators, nicht des Netzwerks. Wenn ein Netzwerk meint es muss DNS blocken, OK, aber einfach unterm Hintern weg den DNS Server austauschen ist sehr unhöflich.
Anyway…
Gruß
Chris
