能否用access-list阻止对某一域名下主机的解析？

nu9i

能否用access-list阻止对某一域名下主机的解析？谢谢\r\n\r\n比如我想阻止内网计算机使用外面DNS对*.ABC.com 做解析。用访问控制列表能实现吗？

seven007

要注意是DNS服务器负责解析.

ssffzz1

基本不能，因为ACL匹配不到应用层。\r\n不过有种MAC扩展访问列表可以指定匹配的偏移量和字节数，但是麻烦的很。

beny1980

有没有可能通过ACL的扩展写法通过限制端口号实现呢。

海天一色

没有，这基本上不可能实现

kentchoi

可以启用split DNS，，，从内部的发起的到*.ABC.com 的接过给一个错误的IP地址。。。\r\n\r\n但是没有使用 acl 了，，，acl 能做这个事情？\r\n\r\n太耗资源了吧，，，本身网络里的DNS数据出乎意料的多啊。。。

chinarenljj

这个问题问的比较有意思？  OSI 的7层协议看来是没有看就问了，ACL控制到网络IP层啊，杂就能控制了DNS解析的应用层啊！哈，但可以阻止掉解析出来的这个对应的IP地址，实现无法访问的效果。