Помимо белого списка IP-адресов на уровне брандмауэра, есть ли способ разрешить только определенным авторизованным людям связываться и использовать DNS-сервер, расположенный на общедоступном IP-адресе?
Если я правильно понимаю модель OSI, вы не можете использовать MAC-адреса, если я правильно помню.
Такие места, как OpenDNS, имеют модель на основе подписки, поэтому я предполагаю, что есть возможный способ контролировать, кто может получить доступ к вашему DNS-серверу?
Цель: идея состоит в том, чтобы настроить DNS-сервер (-ы) для определенных предприятий / клиентов с настраиваемыми записями, но при этом не нужно, чтобы кто-либо мог использовать DNS-сервер (-ы).
Если вы не можете привязать своих клиентов к фиксированным IP-адресам, я бы предложил:
Решения, которые дают вам текущий IP-адрес вашего клиента, например предыдущий вход в систему или даже отключение порта, чтобы пробить дыры в ваших границах (например, брандмауэр), не так безопасны.
Увы, все эти решения требуют определенных действий со стороны вашего клиента. Я не думаю, что это можно исправить полностью прозрачно.
«Bind» - очень распространенный сервер имен, который поддерживает списки управления доступом, ограничивающие запросы и рекурсию DNS с помощью этих списков управления доступом. Короче говоря, с помощью привязки вы можете настроить, кто может получить доступ и выполнять определенные типы поиска на основе отдельных IP-адресов и диапазонов IP-адресов, полностью заблокировать их и полностью открыть.
См. Здесь для получения дополнительной информации: https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-bind- namedconf.html
Чтобы ответить на ваш вопрос, да, это возможно сделать без брандмауэра, но использование брандмауэра и использование списков контроля доступа не совсем одно и то же, и вы можете захотеть использовать брандмауэр (блокирование вредоносной активности) по одной причине и списки контроля доступа по другой ( настройка только рекурсивного сервера, а не авторитетного DNS-сервера).