как я могу перенаправить любой DNS-запрос от клиента с помощью моего маршрутизатора Cisco 2621XM. Я хочу перенаправить любой DNS-запрос на свой DNS-сервер. Поэтому, если клиент установил DNS-сервер в настройках своего IP-адреса, это не повлияет.
Например, сначала направить запрос www на прокси-сервер squid. Я использую это на своем сервере debian:
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.1.50:53
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.1.50:53
Можете ли вы сказать мне конфигурацию моего маршрутизатора cisco с такими же параметрами, как указано выше.
спасибо за аванс. Извините за мой плохой английский.
Убедитесь, что IP-адрес DNS-сервера находится в таблице маршрутизации и ...
ip access-list extended transparent_dns
permit udp any any eq 53
route-map redirect_dns permit 10
match ip address transparent_dns
set ip next-hop ip.of.your.server
route-map redirect_dns permit 20
interface fax/x
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
ip policy route-map redirect_dns
Настройка DHCP настолько до смешного проста, что ее стоит делать даже в небольших сетях. Фактически, вы можете сделать это прямо на Cisco. (Вернувшись к компьютеру, найду команды :))
Вся причина вашего вопроса в том, что вам сложно отслеживать «небольшое количество» клиентов. Не заставляйте себя больше работать, добавляя странную конфигурацию; сделай правильно и настрой DHCP!
Правильный ответ в системном администрировании ВСЕГДА: Будь проще!
Попытка сделать это так, как вы просите, далеко от идеала. Я бы посоветовал вам настроить список доступа на вашем маршрутизаторе cisco, чтобы разрешать и регистрировать все DNS-запросы, которые не поступают с вашего DNS-сервера. Таким образом вы сможете определить, какие клиенты неправильно настроены, и исправить их.
Может быть проще (и «чище») просто обновить ваш DHCP-сервер, чтобы «раздать» ваш собственный DNS-сервер, если вы также используете DHCP внутри.
Что вы можете сделать, так это заблокировать все исходящие DNS-запросы с любого компьютера, кроме вашего DNS-сервера.
Вас беспокоят ненастроенные клиенты или преднамеренно настроенные? Если первое, они должны использовать DHCP, а если второе - попросить их исправить свои настройки, когда они жалуются.
Общий принцип: «Настройте DHCP, если вам абсолютно необходим мониторинг, настройте ACL, разрешающий DNS-поиск на вашем DNS-сервере, затем настройте один разрешающий DNS, но регистрирующий его» (или, я думаю, блокирует, но, вероятно, лучше разрешить и логин в этом случае).
Если вам абсолютно необходимо перенаправить запросы DNS, вам нужно будет использовать маршрутизацию политики. Я не знаю, можно ли переписать адрес назначения с помощью polciy-routing, но вы определенно можете установить следующий переход. Имейте в виду, что включение маршрутизации на основе политик, скорее всего, снизит пропускную способность маршрутизатора в 10–100 раз.