限制DNS对外服务的范围 2019-11-17 网络 暂无评论 4073 次阅读 本篇测试的可能有点问题,这篇已经解决,请移步 [使用windows自带防火墙限制DNS对外服务的范围](https://blog.moper.net/1414.html "使用windows自带防火墙限制DNS对外服务的范围") 因之前在公网架设了权威DNS来解析自己的域名,导致被带宽提供商通知必须限制DNS的访问范围,不允许对公众进行服务。(因对公众服务需要工信部审批) 所以就在DNS设置时,在win的高级选项里,选择了“禁用递归(也禁用转发器)”。 这样算是暂时没有问题了。但是随着最近优化网络结构的需要。准备自建一台DNS给内部上网的用户进行使用。那么就必须打开转发器进行递归查询,把得到的结果返回给内部使用的用户。 由于上面的监管需要,就得设定DNS能够被访问的范围。必须确保三个问题。 1、转发器正常能够访问设定的DNS,我们设定的为 114.114.114.114 8.8.8.8 119.29.29.29 2、确保能够连上根服务器进行解析自己的域名 3、能够对内网IP提供DNS服务 准备利用win自带的防火墙过滤IP达到目的。具体设定如下 1、关闭四条允许的DNS防火墙策略  2、在windows防火墙入站规则里,创建一条自定义规则  3、由于我们也不对外提供其他服务,这里关闭所有协议和端口  4、设定允许的本地IP地址,我们设定的为本地的两个地址段。远程IP地址设定的为转发器的三个DNS地址,和所有的根域名服务器地址。根域名服务器地址可以上网搜索到,也可以在DNS服务器设置里,找到根提示,里面列出了所有根服务器的信息。  经过tool.chinaz.com提供的DNS查询服务,已经可以发现无法用该DNS进行解析。 标签: dns, 限制访问 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。