Заблокировать определенный порт на Juniper

Question

Я пытаюсь помочь кому-то, кто имеет Juniper SRX550. Мы хотим заблокировать исходящий порт 53 в пуле DHCP и только исходящий порт 53, за исключением сервера имен, который настроен для пула DHCP (в этом случае IP-адреса установлены на OpenDNS, но я не думаю, что имеет отношение.

set system services dhcp pool 10.0.0.0/24 name-server 208.67.222.222

Установить имя-сервера, но я не смог найти способ блокировать исходящий DNS, которые не собираются серверы OpenDNS.

Это то, что конфигурация выглядит как в настоящее время:

dhcp { 
    pool 10.0.0.0/24 { 
     address-range low 10.0.0.10 high 10.0.0.254; 
     name-server { 
      208.67.222.222; 
      208.67.220.220; 
     } 
     router { 
      10.0.0.1; 
     } 
    } 
} 

Answer 1

политики набор безопасности из-зоны «имя диапазона зоны DHCP» в-зоне «название вашей зоны DNS-сервера» матч адреса источника «название диапазона DHCP в списке адресов»

политики набор безопасности из «зона» имя зоны диапазона DHCP «зона зоны» имя зоны вашего DNS-сервера «соответствовать адресу-адресу» имя DNS-сервера в списке адресов »

установить политики безопасности из зоны« имя диапазона DHCP » зона «to-zone» имя зоны вашего DNS-сервера »[junos-dns-tcp junos-dns-udp]

установить политики безопасности из зоны" имя диапазон зона DHCP»к зоне„название вашей зоне DNS-сервер“, а затем разрешить

политики набора безопасности глобальной матч политики DNS_Block источник-адрес„Имя диапазона DHCP в списке адресов“политики

набора безопасности глобальной политика применение матч DNS_Block [Junos-ДНС-ТСР Junos-DNS-УДП] политик безопасности

набор глобальной политики DNS_Block затем отрицать

Answer 2

Добавьте правила брандмауэра, запрещающие доступ порта 53 ко всем IP-адресам, отличным от сервера OpenDNS.