Один из маршрутизаторов, которым я управляю, засыпан внешними DNS-запросами из Интернета. Это пограничный сетевой маршрутизатор, на котором настроен DNS-сервер. Есть интерфейс, выходящий в Интернет, который получает все эти DNS-запросы.
Я создал приведенный ниже список управления доступом, чтобы разрешить прохождение через маршрутизатор только известного трафика из Интернета.
interface GigabitEthernet0/0/0.1001
description external internet
encapsulation dot1Q 1001
ip address XX.XX.XX.XX XX.XX.XX.XX
ip nat outside
ip access-group WAN_IN in
==============================================
ip access-list extended WAN_IN
remark --- PERMIT_BUSINESS_TRAFFIC
permit tcp any any established
remark --- PERMIT_CORESCAN_VOCUS_PUBLIC_IP
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
remark --- PERMIT_CORESCAN_IINET_PUBLIC_IP
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
remark --- PERMIT_DNS_QUERIES
permit udp any eq domain any gt 1023
remark --- PERMIT_AWS_VPN_TUN1
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
remark --- PERMIT_AWS_VPN_TUN2
permit ip host XX.XX.XX.XX host XX.XX.XX.XX
remark --- DENY_ALL
deny ip any any
Я вижу, что ACL работает (я вижу все совпадения из ACL), поскольку он блокировал некоторые DNS-запросы, но есть некоторые DNS-запросы, особенно из этого домена (PEACECORPS.GOV), которым каким-то образом всегда удается пройти через ACL.
Я вижу запросы, собирая трафик с маршрутизатора и анализируя его с помощью wirehark.
При анализе трафика я могу сказать, что запрос доходит до маршрутизатора, но маршрутизатор не отвечает на запрос, что хорошо, но мой вопрос: есть ли способ вообще заблокировать запросы, чтобы добраться до маршрутизатора? Я думал, что простой ACL сработает, но это не так.
Ниже показан захват пакетов для запросов о доходах.
192.223.30.89 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2fc9 ANY PEACECORPS.GOV OPT
192.223.30.89 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2fc9 ANY PEACECORPS.GOV OPT
192.223.30.89 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2fc9 ANY PEACECORPS.GOV OPT
192.223.30.89 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2fc9 ANY PEACECORPS.GOV OPT
201.105.153.70 XXX.XXX.XXX.XXX DNS 83 Standard query 0x2281 ANY aids.gov OPT
Ниже показан захват пакетов для исходящих
213.139.53.28 XXX.XXX.XXX.XXX DNS 85 Standard query 0xd224 ANY paypal.com OPT
73.78.192.30 XXX.XXX.XXX.XXX DNS 82 Standard query 0x3b63 ANY doc.gov OPT
202.179.0.18 XXX.XXX.XXX.XXX DNS 89 Standard query 0x6ffd ANY PEACECORPS.GOV
OPT
76.184.25.55 XXX.XXX.XXX.XXX DNS 89 Standard query 0x2953 ANY PEACECORPS.GOV OPT
XXX.XXX.XXX.XXX представляет мой общедоступный IP-адрес в качестве пункта назначения.
Спасибо за помощь.