沒有防火牆，多台PC，均指向內部DNS主機，想由DNS設定以封鎖某一網域連線,DNS為win2000內建.

想法為在內部DNS設定某一網域如abc.com，可對所有查詢均回應不存在的IP（如10.1.1.1)

測試法為以nslookup查詢如a.abc.com,b.abc.com.....等均回應10.1.1.1
不知如何設定?

贊助商連結

感覺有點怪怪的 dns是給內部自己在查的

還是要發佈給internet查詢?

須要回應10.1.1.1 就設a記錄對應上就好

不過設這個要做啥用? 設了INTERNET client也查不到東西

感覺有點怪怪的 dns是給內部自己在查的

還是要發佈給internet查詢?

須要回應10.1.1.1 就設a記錄對應上就好

不過設這個要做啥用? 設了INTERNET client也查不到東西
DNS是給內部機器查的.
要設定的網域不是自己的,因不知道該網域有那些機器,如何設a記錄?
我的目的是藉由DNS解析回應一不存在的位址,使內部機器無法連線至該網域任一台主機

我是想到幾個方法啦

如果只是限制內部人員不能讀取www.ftp....等某網域的資源

先去查詢一下某網域內部有那些記錄 nslookup

在client端的HOSTS 檔加入 EX. www.abc.com 10.1.1.1
ftp.abc.com 10.1.1.1

如果不是這麼單純可能就無解 查不到的話還是會經由自己的公司dns向外查

內部人員除了某幾個網站想擋掉 其他任何網站都可以上嗎?


覺得加台isa server比較快:)

用hosts是不可行的,網域所有記錄不見得可用nslookup查到,維護也麻煩,且不只要擋1個網域

應該是有解的.

不然在自己的dns設個假的區域 ex 要擋的abc.com.tw

我試過只要查詢不管 XXX.abc.com.tw

只要在abc.com.tw 底下的都不給解析 因為假的區域裡面記錄都沒有設

client的dns都指公司那台 其他的都不設

看看這個行不行:)

PS.這是我自己想出來的方法啦 如果有錯誤的地方還請各位指導一下@@
看自己的觀念有沒有問題:)

試過上述的作法的確可行,感謝你的熱心!

但仍希望被禁網域的DNS的查詢可回覆IP,若有防火牆則有記錄可知是那些機器試圖連線.

哈 臨時想到的方法還可以用XDD

如果真的要回應全部查詢的IP 可能沒這麼簡單

1.如果自己己設上假的網域在DNS SERVER上 由自己的DNS SERVER來解析 的話 有設到的記錄來回應是沒題問 沒設的話都會回應 Ping request could not find host xx.com.tw Please check the name and try again

2.如果由外部dns回應 它回應一定是正確解析出來的ip(如果對方dns設定正確) 再由自己的dns回傳給client 我不大記得windwos dns server有地方可以設定改變其他dns Server回傳資料的地方 可能須要其他程式的支援吧



剛好也想到一個問題來討論一下

如果一個用戶去解析一個abc.com.tw的網域 正確的ip為192.168.1.10

但回傳的dns解析因為某些原因的ip變成10.1.1.10

有人在10.1.1.10架設一個跟abc.com.tw相同的網站

來得到一些資訊

區網內是沒問題啦 internet有這可能嗎?

試過上述的作法的確可行,感謝你的熱心!

但仍希望被禁網域的DNS的查詢可回覆IP,若有防火牆則有記錄可知是那些機器試圖連線.
這樣的方法對於熟悉網路設定的使用者很容易就可以破解,例如自行設定 DNS 直接使用外部的 DNS 或 設定使用外部的 PROXY.
你提到有防火牆,為何不直接在防火牆上直接設定擋掉.

這樣的方法對於熟悉網路設定的使用者很容易就可以破解,例如自行設定 DNS 直接使用外部的 DNS 或 設定使用外部的 PROXY.
你提到有防火牆,為何不直接在防火牆上直接設定擋掉.
1.防火牆可擋掉不允許的DNS查詢
2.防火牆的設定欄位有限