Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wechsel des DNS-Servers unterbinden

Mitglied: Crally

Crally (Level 1) - Jetzt verbinden

20.11.2019 um 06:29 Uhr, 470 Aufrufe, 10 Kommentare

Hallo zusammen,

eine grundsätzliche Frage:

Ist es möglich zu unterbinden, dass die Clients im Netzwerk in ihren DNS-Server-Einstellungen einen öffentlichen DNS-Server (wie z.B. 8.8.8.8) eingeben können?

Also praktisch will ich einfach eine Regel haben, dass alle Clients im Netzwerk nur Internet haben, wenn sie den lokalen DNS-Server nutzen.

Als einzige Lösung fiele mir ein, dass ich alle öffentlichen DNS-Server in der Firewall manuell sperre. Das wäre ein enormer Aufwand... Gibt es da Erfahrungen?

Als Router wird ein Lancom-1781EF+ eingesetzt.


Vielen Dank
Mitglied: Henere
LÖSUNG 20.11.2019 um 06:49 Uhr
Moin. Port 53 einfach nur für die internen DNS freischalten.
Immer nur das erlauben was nötig ist.

Grüße Henere
Bitte warten ..
Mitglied: Crally
20.11.2019 um 06:53 Uhr
Boah.... manchmal übersieht man einfach das Offensichtliche....

Werde mal Port 53 und 853 sperren und dann mal sehen.

Sorry für die dumme Frage
Bitte warten ..
Mitglied: Henere
20.11.2019 um 07:11 Uhr
Noch ein Tipp zur Firewall.
Prinzipiell ist alles verboten, was Du nicht explizit erlaubst.
Nicht umgekehrt, das läßt zu viele Lücken offen.
Bitte warten ..
Mitglied: Spirit-of-Eli
20.11.2019 um 07:37 Uhr
Moin,

etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.

Gruß
Spirit
Bitte warten ..
Mitglied: Momo1412
20.11.2019 um 08:29 Uhr
Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln

Gruß
Bitte warten ..
Mitglied: Spirit-of-Eli
20.11.2019, aktualisiert um 08:31 Uhr
Zitat von Momo1412:

Reicht es da nicht schon aus, den Usern einfach die lokalen Administrationsrechte zu entziehen?
Dann können diese erst gar nicht in den Netzwerkeinstellungen rumfummeln

Gruß

Was machst du denn zum Beispiel mit mobilen Geräten?
Deswegen haben ich den Port mal test weise umgebogen, da Android gerne mit Google DNS Server spricht.
Bitte warten ..
Mitglied: Momo1412
20.11.2019 um 08:36 Uhr
@Spirit-of-Eli
Ah ok, das leuchtet selbstverständlich ein!
Bitte warten ..
Mitglied: wiesi200
20.11.2019 um 12:20 Uhr
Ich würde eher die Anfrage auf deinen internen DNS umleiten. Dein eigener DNS muss dann aber trotzdem raus können
Bitte warten ..
Mitglied: it-fraggle
20.11.2019 um 12:36 Uhr
Kein direkter Internetzugriff mehr, wenn es nicht unbedingt nötig ist. Das sind dann Ausnahmen. Lieber einen Proxy einrichten und alles darüber schicken.
Bitte warten ..
Mitglied: Sheogorath
20.11.2019 um 14:09 Uhr
Moin,

Zitat von Spirit-of-Eli:

Moin,

etwas das lustiger weise auch geht ist, den Port 53 TCP/UDP auf dem Interface einfach per Portforwarding auf deinen eigenen DNS Serve umzubiegen.
Gegen welche Standards das jedoch verstößt weiß ich nicht. Auch wird das wohl mit DNSsec nicht funktionieren.



Mit DNSSec passiert da gar nichts. DNSSec wird vom Authorativen DNS Server aus nach unten weitergegeben. Wer das weitergibt ist egal.

Allerdings sind diese Umleitungen mitunter das arschigste was man bauen kann, denn man nutzt hier im Grunde einen Angriffsvektor auf DNS aus. Ein Grund warum ich für mehr DoH oder DoT plädiere. Wessen DNS Server ein gerät benutzt ist Sache des Systemadministrators, nicht des Netzwerks. Wenn ein Netzwerk meint es muss DNS blocken, OK, aber einfach unterm Hintern weg den DNS Server austauschen ist sehr unhöflich.

Anyway…

Gruß
Chris
Bitte warten ..
Ähnliche Inhalte
DNS

DNS Weiterleitung in den Servereigenschaften des DNS Servers auf einem DC

gelöst Frage von CornitusDNS7 Kommentare

Hallo, hier habe ich gelesen das man unter den Servereigenschaften des DNS Server auf einem DC eine Weiterleitung auf ...

Server-Hardware

Wechsel Serverschrank

Frage von TrubadixServer-Hardware6 Kommentare

Hallo, nach der Installation des Serverschranks ist leider aufgefallen, dass die Tiefe für die verwendeten Komponenten nur knapp/gar nicht ...

Hyper-V

Virtualisierung eines Servers

Frage von LornstiHyper-V11 Kommentare

Hallo, ich habe ein Problem mit der Virtualisierung eines Servers. Ich habe vom Server (2012 R2) mit Disk2vhd eine ...

Windows 10

Windows 10 verwendet FritzBox per IPv6 als DNS-Server an Stelle des per DHCP vergebenen DNS-Servers

gelöst Frage von Datax87Windows 1010 Kommentare

Hallo, ich habe ein kleines Problem mit der Namensauflösung (DNS) unter Windows 10. Mir ist heute aufgefallen, dass ich ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 2 TagenWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 3 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 3 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 5 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Server-Hardware
Hetzner Dedicated-Server für Terminalserver - RDSH 5 Benutzer gesucht
gelöst Frage von ra-user10Server-Hardware37 Kommentare

Hallo liebe IT-Fachleute! Ich möchte für unseren kleinen Betrieb einen Terminalserver aufsetzen und dafür das Angebot von Hetzner nutzen. ...

E-Business
Brainstorming: Zeiterfassungs- oder gesamtes Abrechnungssystem
Frage von certifiedit.netE-Business23 Kommentare

Guten Abend, alles neu macht der, naja, schon lange nicht mehr, Mai Zum Ende des Jahres, besser zum Beginn ...

Entwicklung
Powershell-Skript und Organisationseinheiten auskludieren
gelöst Frage von informatikkfmEntwicklung13 Kommentare

Hallo, ich habe ein Powershell-Skript, ähnlich wie das folgende. Ich möchte dabei, dass alle Benutzer unterhalb der OUs in ...

Batch & Shell
Batch max. Speicherkapazität einer Variable
Frage von Patrick24Batch & Shell13 Kommentare

Hi, ich schreibe gerade eine Batch wo voraussichtlich sehr große Zahlen in einer Variable gespeichert werden sollen (so ca.120 ...