Это казалось достаточно простым, но я должен что-то упустить. У меня есть следующая конфигурация, чтобы заблокировать все DNS-запросы изнутри, которые не идут на разрешенный внешний DNS-сервер.
access-list INSIDE-ACCESS-OUT extended permit udp any object open-dns1 eq domain
access-list INSIDE-ACCESS-OUT extended permit udp any object open-dns2 eq domain
access-list INSIDE-ACCESS-OUT extended permit tcp any object open-dns1 eq domain
access-list INSIDE-ACCESS-OUT extended permit tcp any object open-dns2 eq domain
access-list INSIDE-ACCESS-OUT extended deny udp any any eq domain
access-list INSIDE-ACCESS-OUT extended deny tcp any any eq domain
access-list INSIDE-ACCESS-OUT extended permit ip any any
access-group INSIDE-ACCESS-OUT out interface inside
DNS по-прежнему может получить доступ к любому серверу, и трассировщик пакетов не показывает попадание в ACL.
Ваш ACL применяется в обратном порядке. Вы применяете его к пакетам, выходящим через внутренний интерфейс (из Интернета на внутренние хосты). Это должно исправить это:
no access-group INSIDE-ACCESS-OUT out interface inside
access-group INSIDE-ACCESS-OUT in interface inside