4

В основном, как говорится в заголовке, я хотел бы иметь возможность заблокировать Интернет с помощью настроек DNS на Windows Server 2008 R2 - предпочтительно, я бы заблокировал все, а затем просто имел «белый список» определенных IP-адресов / доменных имен - это возможно?

Это может быть сделано через маршрутизатор, но я думаю, что из-за количества пользователей в нашей сети (50+) она боролась с рабочей нагрузкой, поэтому любая помощь в том, чтобы заставить сервер выполнять работу, а не маршрутизатор, была бы намного спасибо, спасибо

2 ответа2

3

По брандмауэру:

  1. Войдите на свой сервер через Remote Desktop Connection.
  2. Пуск -> Администрирование> Windows Firewall с повышенной безопасностью.
  3. В левой части окна брандмауэра выберите параметр «Входящие правила».
  4. В правой части экрана нажмите «Новое правило».
  5. Нажмите на пользовательскую кнопку-переключатель и затем нажмите «Далее».
  6. Убедитесь, что радио Все программы выбрано, затем нажмите Далее.
  7. В параметрах протокола и портов оставьте все по умолчанию и нажмите «Далее».
  8. На экране области видимости вы увидите два поля: верхнее - для локальных IP-адресов, а нижнее - для удаленных IP-адресов. В этом сценарии мы пытаемся заблокировать внешний (удаленный) IP-адрес от доступа к чему-либо на сервере, поэтому нам нужно будет добавить IP-адрес только в этот раздел, поскольку он не будет локальным IP-адресом.
  9. Нажмите на радио, которое говорит «эти IP-адреса» в удаленном разделе, как показано ниже:
  10. Нажмите на кнопку Добавить.
  11. В следующем окне мы добавим к правилу один IP-адрес, вы также можете добавить весь диапазон в этот момент, если хотите.
  12. Нажмите ОК, нажмите Далее.
  13. Убедитесь, что на следующем экране выбрано «Блокировать радиосвязь», а затем нажмите «Далее».
  14. Оставьте все опции на следующем экране отмеченными, это обязательно заблокирует IP-адрес независимо от того, какое соединение он пытается использовать. Нажмите кнопку "Далее.
  15. Назовите правило на следующем экране так, чтобы вы могли его запомнить, если захотите удалить или отредактировать его в будущем. Нажмите «Готово» и все.

Источник: http://www.studyblog.net/2011/10/block-ip-address-or-ip-range-in-windows-server-2008-by-windows-firewall/

По DNS (выглядит более неудобно) (Извините, что отсылаю вас, но на каждом из них так много контента, что я не могу скопировать ответ) http://blogs.technet.com/b/isablog/archive/2008/02/19/окна-сервер-2008-DNS-блок-feature.aspx

0

Этот ответ не является ответом и даже не касается вопроса. Ответ, предоставленный выше, состоит в том, как написать правило, блокирующее весь доступ к серверу или рабочей станции, блокируя IP-адрес в брандмауэре и вообще не обращаясь к имени DNS, и, следовательно, не затрагивает фактический вопрос.

Мои исследования привели меня к выводу, что если вы используете DNS 2016 года, вы можете сделать это с помощью политики запросов DNS, но не с любой предыдущей версией.

Основной причиной этого может быть то, что поддельные UDP-пакеты BS попадают на серверы MS dns по всему миру, поэтому ограничение скорости отклика также помогло бы, но опять-таки доступно только в 2016 году (даже если у Bind это было годами и годами)

Существует также список заблокированных запросов, но он, вероятно, работает только для рекурсивных поисков и ничего не делает для фальшивых запросов на домены NX на авторитетных серверах DNS, когда я писал эти блоки, и запросы все еще приходят.

Лучший способ борьбы с этим - это # 1. Убедитесь, что рекурсивы отключены, # 2 верните ответ NXDomain, убедившись, что в вашей точечной зоне (.) Нет записей, в том числе и записей серверов имен. Это вернет наименьший пакет в ответ, а усиление атаки будет в основном аннулировано.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .