我有一个关于防止用户在本地局域网上访问互联网(如看www.yahoo.com)的问题
目前,我已经安装了Windows Server 2008 R2,并且我已经做了一个更改,不允许用户通过路由器上的默认网关访问Internet,但是,我想要设置DNS服务器,将所有请求redirect到我的单个IP本地局域网,例如:如果用户尝试NS查找DNS服务器为“www.google.com”或“google.com”,它将返回IP 192.168.1.1
我怎样才能build立一个Windows DNS指向所有的请求本身?
打开DNSpipe理。 为google.com设置新的正向查找区域,并将主机Alogging设置为192.168.1.1。 还要确保所有客户端都使用该服务器作为DNS。
您可以在服务器上创build一个根区域(。),这将有效地禁用外部名称的所有DNSparsing。 请注意,这将禁用所有外部名称的所有DNSparsing。
我不知道你可以。 据我所知,我不相信你可以创造一个。 键入Windows DNS中的logging,使其将所有请求redirect到一个IP地址。 如果您确信自己永远不需要在该networking部分访问互联网,则可以从DNS中删除根提示,这将导致所有对非内部DNS请求失败,但是我不确定您可以,在Windows DNS中,导致所有DNS请求parsing为一个IP地址。
如果您试图限制用户的networking访问,还有其他方法。 我build议将代理所有networkingstream量的组策略设置为不被批准的白名单设置为0.0.0.0,这将只对所有stream量进行黑洞。 我之前为客户做过 – 这并不难,特别是如果白名单很小(即一个SharePoint服务器)。
您可以通过删除目标dns服务器中的所有根提示并使用fqdn“。”创build您自己的根区域。 (点)。 这将导致parsing查询在第一步停止。
但
你在DNS中做的任何事情都可以绕过…
当用户更改tcp / ipconfiguration中的主DNS服务器时,您的DNS服务器将不会生效。 当用户尝试通过IP地址连接时,您的DNS服务器将不会再生效。 例如,在dns服务器中为google.com创build一个主要区域,然后添加一个Alogging,无论您想要哪个ip。 清除DNS客户端caching。 并尝试浏览google.com,并看到您的DNS服务器将命中,并解决您configuration的IP地址,然后尝试浏览“209.85.148.105”
我宁愿configuration防火墙。 ISA或TMG也许。