Uso de una lista de acceso extendida (recomendado): Las listas de acceso extendidas le permiten filtrar en función de la dirección IP de origen/destino, el protocolo y el puerto. Esto es mucho más preciso y seguro que una lista de acceso estándar.
`` `` ``
Access-List Extended Deny_DNS_53 Deny TCP cualquier EQ 53
Access-List Extended Deny_DNS_53 Deny UDP cualquier EQ 53
`` `` ``
Esto crea una lista de acceso extendida llamada `Deny_DNS_53`. Las líneas hacen lo siguiente:
* `Denga TCP cualquier EQ 53`:niega el tráfico TCP al puerto 53 (utilizado para algunas consultas DNS). `Any" significa cualquier dirección IP de origen y destino.
* `Denga UDP cualquier EQ 53`:niega el tráfico UDP al puerto 53 (el puerto principal utilizado para DNS). `Any" nuevamente significa cualquier dirección IP de origen y destino.
Aplicando la lista de acceso: Esta lista de acceso debe aplicarse a una interfaz, por ejemplo:
`` `` ``
interfaz gigabitethernet0/0
IP Access-Group Deny_DNS_53 Out
`` `` ``
Esto aplica la lista de acceso al tráfico saliente de la interfaz `GigabitEthernet0/0`. Cambiar `Out` a` in` para filtrar el tráfico entrante. Reemplace `GigabitEthernet0/0` con la interfaz real que desea controlar.
Uso de una lista de acceso estándar (menos precisa, generalmente no recomendada): Las listas de acceso estándar solo se filtran en función de las direcciones IP de origen. No puede especificar el puerto con una lista de acceso estándar, lo que lo hace inadecuado para esta tarea específica a menos que desee negar el tráfico de una IP específica *por completo *, independientemente del puerto. Sería mucho más amplio y más probable que interrumpa el tráfico legítimo. Evite este enfoque para el filtrado DNS.
Consideraciones importantes:
* Colocación: Considere cuidadosamente dónde aplica la lista de acceso. Aplicarlo demasiado ampliamente podría interrumpir su propia resolución DNS. A menudo es mejor aplicarlo a una interfaz más cercana a los dispositivos o usuarios que desea restringir.
* DNS interno: Si tiene un servidor DNS interno, asegúrese de que no se vea afectado por esta lista de acceso. Es posible que necesite reglas adicionales para permitir el tráfico hacia y desde su servidor DNS interno.
* Otros puertos: Los DNS a veces pueden usar otros puertos. Si bien 53 es el estándar, es posible que deba considerar reglas adicionales si sospecha que se están utilizando puertos alternativos.
* firewall: Considere un firewall (como PFSense, Opnsense o un firewall de hardware dedicado) para una seguridad de red más robusta y sofisticada. Los firewalls generalmente ofrecen características más avanzadas para controlar el tráfico que las listas de acceso simples.
Siempre pruebe sus cambios de lista de acceso en un entorno de prueba antes de aplicarlos a su red de producción. Las listas de acceso configuradas incorrectamente pueden interrumpir severamente la conectividad de red.