【转移】dns设置问题，封除了sina，sohu，163外的其他网站

fjingxu

内网dns请求全部由本dns服务器解析。现要求允许下面的电脑只能访问sina，sohu和163的所有页面（或者说所属域页面）和邮件。禁止其他一切域名解析。
请高手给出方案。

寻求这样的效果。
sina，sohu，163域名正常转发，其他域名解析到127.0.0.1。
能不能实现以及如何实现。

我是新手，主要搞网络设备调试，对dns不是很了解。请给一个解决方法

[ 本帖最后由 fjingxu 于 2006-12-28 11:36 编辑 ]

skylove

方案1：
收集这几个站点的ip（可能存在多个），然后，只允许这些站点的ip被访问

方案2：
出口走web proxy，只允许代理这3个站点的内容


不过，这2个方案其实和dns版面关系都不大，dns只是一个解析作用，单想从dns上面控制是不太现实的（比如用户有其他站点的hosts文件）

fjingxu

呵呵，谢谢楼上的给的提示。其实用户现在水平没有那么高。要求也没有那么严格。只要从dns上让他们解析不到就可以了。其他的比如他们用ip访问了。等等就不在限制之列了。

skylove

那就在dns server上设置以上三个站点的对应固定静态解析，并且不转发其他解析到上级dns server 就可以了；然后在出口位置，限制除本dns server以外的机器（事实上连这台机器也可以限制掉，只是为了以后检查ip变更方便）对外的目的tcp/udp 53 port的连接

[ 本帖最后由 skylove 于 2006-12-20 11:38 编辑 ]

bdw

把根服务器设置为自己，然后只做那三个域名的解析，并不允许递归查询

fjingxu

三个网站的子域名太多了。怎么做呢。

ree

这3个域作转发到正常的dns上，其它域转发到不存在的IP地址上去

skylove

原帖由 fjingxu 于 2006-12-20 17:39 发表
三个网站的子域名太多了。怎么做呢。

简单，在linux版面 ，白金写过一个针对domain的 netfilter的插件，用它把非 3个域名的请求drop掉就ok了。。。

fjingxu

原帖由 ree 于 2006-12-21 16:53 发表
这3个域作转发到正常的dns上，其它域转发到不存在的IP地址上去

已经实现了这个办法。不过ie浏览器好像还可以访问其他网站。nslookup已经解析不到了。

fjingxu

原帖由 skylove 于 2006-12-21 17:47 发表


简单，在linux版面 ，白金写过一个针对domain的 netfilter的插件，用它把非 3个域名的请求drop掉就ok了。。。

谢谢了。试试看效果。