除了在防火墙级别进行IP白名单,有没有一种方法可以让特定的授权人员联系和使用公共IP上的DNS服务器?
如果我正确理解OSI模型,如果我没有记错,则不能使用MAC地址。
像OpenDNS这样的地方有一个基于订阅的模型,所以我认为有一种可能的方式可以控制谁可以访问你的DNS服务器?
目标:这个想法是为具有特定业务/客户端的DNS服务器设置自定义logging,但也不希望只允许任何人使用DNS服务器。
如果你不能把你的客户固定到IP地址,我会build议:
为您提供客户端当前IP地址的解决scheme(例如之前的login或端口敲打)在您的边界(例如防火墙)中打洞是不安全的。
唉,所有这些解决scheme都需要在客户方面采取一些行动。 我不认为你完全透明地得到了修正。
一个非常常见的名称服务器“bind”包含对ACL的支持,并限制查询和使用这些ACL进行DNSrecursion。 简而言之,使用绑定您可以configuration谁可以访问和执行基于单个IP和IP范围的某些types的查找,完全阻止它们并完全打开它们。
详情请参阅https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-bind-namedconf.html
要回答你的问题,是的,可以在没有防火墙的情况下做到这一点,但是使用防火墙和使用ACL并不完全相同,你可能想要使用防火墙(阻止恶意活动),另一个原因是使用ACL(只设置recursion服务器而不是权威的DNS服务器)。