crally
Goto Top

Wechsel des DNS-Servers unterbinden

Hallo zusammen,

eine grundsätzliche Frage:

Ist es möglich zu unterbinden, dass die Clients im Netzwerk in ihren DNS-Server-Einstellungen einen öffentlichen DNS-Server (wie z.B. 8.8.8.8) eingeben können?

Also praktisch will ich einfach eine Regel haben, dass alle Clients im Netzwerk nur Internet haben, wenn sie den lokalen DNS-Server nutzen.

Als einzige Lösung fiele mir ein, dass ich alle öffentlichen DNS-Server in der Firewall manuell sperre. Das wäre ein enormer Aufwand... Gibt es da Erfahrungen?

Als Router wird ein Lancom-1781EF+ eingesetzt.


Vielen Dank

Content-ID: 517076

Url: https://administrator.de/forum/wechsel-des-dns-servers-unterbinden-517076.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

Henere
Lösung Henere 20.11.2019 um 06:49:32 Uhr
Goto Top
Moin. Port 53 einfach nur für die internen DNS freischalten.
Immer nur das erlauben was nötig ist.

Grüße Henere
Crally
Crally 20.11.2019 um 06:53:50 Uhr
Goto Top
Boah.... manchmal übersieht man einfach das Offensichtliche....

Werde mal Port 53 und 853 sperren und dann mal sehen.

Sorry für die dumme Frage
Henere
Henere 20.11.2019 um 07:11:52 Uhr
Goto Top
Noch ein Tipp zur Firewall.
Prinzipiell ist alles verboten, was Du nicht explizit erlaubst.
Nicht umgekehrt, das läßt zu viele Lücken offen.
Spirit-of-Eli
Spirit-of-Eli 20.11.2019 um 07:37:46 Uhr
Goto Top
Moin,

etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.

Gruß
Spirit
Momo1412
Momo1412 20.11.2019 um 08:29:36 Uhr
Goto Top
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln

Gruß
Spirit-of-Eli
Spirit-of-Eli 20.11.2019 aktualisiert um 08:31:05 Uhr
Goto Top
Zitat von @Momo1412:

Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln

Gruß

Was machst du denn zum Beispiel mit mobilen Geräten?
Deswegen haben ich den Port mal test weise umgebogen, da Android gerne mit Google DNS Server spricht.
Momo1412
Momo1412 20.11.2019 um 08:36:33 Uhr
Goto Top
@Spirit-of-Eli
Ah ok, das leuchtet selbstverständlich ein!
wiesi200
wiesi200 20.11.2019 um 12:20:38 Uhr
Goto Top
Ich würde eher die Anfrage auf deinen internen DNS umleiten. Dein eigener DNS muss dann aber trotzdem raus können
it-fraggle
it-fraggle 20.11.2019 um 12:36:09 Uhr
Goto Top
Kein direkter Internetzugriff mehr, wenn es nicht unbedingt nötig ist. Das sind dann Ausnahmen. Lieber einen Proxy einrichten und alles darüber schicken.
Sheogorath
Sheogorath 20.11.2019 um 14:09:55 Uhr
Goto Top
Moin,

Zitat von @Spirit-of-Eli:

Moin,

etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.



Mit DNSSec passiert da gar nichts. DNSSec wird vom Authorativen DNS Server aus nach unten weitergegeben. Wer das weitergibt ist egal.

Allerdings sind diese Umleitungen mitunter das arschigste was man bauen kann, denn man nutzt hier im Grunde einen Angriffsvektor auf DNS aus. Ein Grund warum ich für mehr DoH oder DoT plädiere. Wessen DNS Server ein gerät benutzt ist Sache des Systemadministrators, nicht des Netzwerks. Wenn ein Netzwerk meint es muss DNS blocken, OK, aber einfach unterm Hintern weg den DNS Server austauschen ist sehr unhöflich.

Anyway…

Gruß
Chris