Wechsel des DNS-Servers unterbinden
Hallo zusammen,
eine grundsätzliche Frage:
Ist es möglich zu unterbinden, dass die Clients im Netzwerk in ihren DNS-Server-Einstellungen einen öffentlichen DNS-Server (wie z.B. 8.8.8.8) eingeben können?
Also praktisch will ich einfach eine Regel haben, dass alle Clients im Netzwerk nur Internet haben, wenn sie den lokalen DNS-Server nutzen.
Als einzige Lösung fiele mir ein, dass ich alle öffentlichen DNS-Server in der Firewall manuell sperre. Das wäre ein enormer Aufwand... Gibt es da Erfahrungen?
Als Router wird ein Lancom-1781EF+ eingesetzt.
Vielen Dank
eine grundsätzliche Frage:
Ist es möglich zu unterbinden, dass die Clients im Netzwerk in ihren DNS-Server-Einstellungen einen öffentlichen DNS-Server (wie z.B. 8.8.8.8) eingeben können?
Also praktisch will ich einfach eine Regel haben, dass alle Clients im Netzwerk nur Internet haben, wenn sie den lokalen DNS-Server nutzen.
Als einzige Lösung fiele mir ein, dass ich alle öffentlichen DNS-Server in der Firewall manuell sperre. Das wäre ein enormer Aufwand... Gibt es da Erfahrungen?
Als Router wird ein Lancom-1781EF+ eingesetzt.
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 517076
Url: https://administrator.de/forum/wechsel-des-dns-servers-unterbinden-517076.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
10 Kommentare
Neuester Kommentar
Zitat von @Momo1412:
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln
Gruß
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln
Gruß
Was machst du denn zum Beispiel mit mobilen Geräten?
Deswegen haben ich den Port mal test weise umgebogen, da Android gerne mit Google DNS Server spricht.
@Spirit-of-Eli
Ah ok, das leuchtet selbstverständlich ein!
Ah ok, das leuchtet selbstverständlich ein!
Moin,
Mit DNSSec passiert da gar nichts. DNSSec wird vom Authorativen DNS Server aus nach unten weitergegeben. Wer das weitergibt ist egal.
Allerdings sind diese Umleitungen mitunter das arschigste was man bauen kann, denn man nutzt hier im Grunde einen Angriffsvektor auf DNS aus. Ein Grund warum ich für mehr DoH oder DoT plädiere. Wessen DNS Server ein gerät benutzt ist Sache des Systemadministrators, nicht des Netzwerks. Wenn ein Netzwerk meint es muss DNS blocken, OK, aber einfach unterm Hintern weg den DNS Server austauschen ist sehr unhöflich.
Anyway…
Gruß
Chris
Zitat von @Spirit-of-Eli:
Moin,
etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.
Moin,
etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.
Mit DNSSec passiert da gar nichts. DNSSec wird vom Authorativen DNS Server aus nach unten weitergegeben. Wer das weitergibt ist egal.
Allerdings sind diese Umleitungen mitunter das arschigste was man bauen kann, denn man nutzt hier im Grunde einen Angriffsvektor auf DNS aus. Ein Grund warum ich für mehr DoH oder DoT plädiere. Wessen DNS Server ein gerät benutzt ist Sache des Systemadministrators, nicht des Netzwerks. Wenn ein Netzwerk meint es muss DNS blocken, OK, aber einfach unterm Hintern weg den DNS Server austauschen ist sehr unhöflich.
Anyway…
Gruß
Chris