Jak skonfigurować czarną listę DNS / białą listę na serwerze Windows 2008 R2

Zasadniczo, jak mówi tytuł, chciałbym móc zablokować Internet za pomocą ustawień DNS w systemie Windows Server 2008 R2 - najlepiej zablokowałbym wszystko, a następnie po prostu „białą listę” niektórych adresów IP / nazw domen - czy to możliwe?

Można to zrobić za pośrednictwem routera, ale myślę, że ze względu na liczbę użytkowników, których mamy w naszej sieci (50+), zmagał się z obciążeniem, więc jakakolwiek pomoc w uzyskaniu pracy serwera zamiast routera byłaby dużo oklaskiwany, dzięki.

Przez firewall:

1. Zaloguj się do swojego serwera za pomocą Podłączania pulpitu zdalnego.
2. Start - & gt; narzędzia administracyjne & gt; zapora systemu Windows z zaawansowanym zabezpieczeniem.
3. Po lewej stronie okna zapory kliknij opcję reguł przychodzących.
4. Po prawej stronie ekranu kliknij Nowa reguła.
5. Kliknij przycisk opcji niestandardowej, a następnie kliknij przycisk Dalej.
6. Upewnij się, że wybrano opcję Wszystkie programy, a następnie kliknij przycisk Dalej.
7. Na protokole i opcjach pozostaw wszystko w domyślnych ustawieniach i kliknij Dalej.
8. Na ekranie zasięgu zobaczysz dwa pola, górne to lokalne adresy IP, a dolne - zdalne adresy IP. W tym scenariuszu próbujemy zablokować zewnętrzny (zdalny) IP dostęp do czegokolwiek na serwerze, więc będziemy musieli dodać adres IP tylko do tej sekcji, ponieważ nie będzie to lokalny adres IP.
9. Kliknij radio, które mówi „te adresy IP” w części zdalnej, jak pokazano poniżej:
10. Kliknij przycisk Dodaj.
11. W następnym oknie dodamy pojedynczy adres IP do reguły, możesz także dodać cały zakres w tym momencie, jeśli chcesz.
12. Kliknij OK, kliknij Dalej.
13. Upewnij się, że wybrałeś Blokuj radio połączenia na następnym ekranie, a następnie kliknij Dalej.
14. Zaznacz wszystkie opcje na następnym ekranie, aby upewnić się, że zablokujesz IP bez względu na połączenie, którego próbują użyć. Kliknij Następny.
15. Nazwij regułę na następnym ekranie, co możesz zapamiętać w przypadku, gdy chcesz ją usunąć lub edytować w przyszłości. Kliknij przycisk Zakończ i gotowe.

Źródło: http://www.studyblog.net/2011/10/block-ip-address-or-ip-range-in-windows-server-2008-by-windows-firewall/

Przez DNS (który wygląda bardziej skrzypliwie) (Przepraszam, że cię odesłałem, ale na każdym jest tak dużo treści, że nie mogę skopiować odpowiedzi) http://blogs.technet.com/b/isablog/archive/2008/02/19/windows-server-2008-dns-block-feature.aspx

Ta odpowiedź nie jest odpowiedzią i nawet nie odnosi się do pytania. Odpowiedź podana powyżej dotyczy tego, jak napisać regułę blokującą cały dostęp do serwera lub stacji roboczej, blokując IP w zaporze ogniowej i nie adresując w ogóle nazwy dns, a zatem nie odpowiada na rzeczywiste pytanie.

Moje badania doprowadziły mnie do wniosku, że jeśli używasz DNS 2016, możesz to zrobić za pomocą polityki zapytań dns, ale nie w poprzedniej wersji.

Głównym powodem, dla którego można tego chcieć, są fałszywe pakiety BS UDP uderzające w serwery MS dns na całym świecie, więc ograniczenie szybkości odpowiedzi również by pomogło, ale ponownie dostępne tylko w 2016 r. (Mimo że Bind miał je przez lata i lata)

Istnieje również lista bloków zapytań, ale prawdopodobnie działa to tylko w przypadku wyszukiwania rekurencyjnego i nie robi nic dla fałszywych żądań dla NXDomains na autorytatywnych serwerach dns, kiedy pisałem te bloki i zapytania wciąż przychodzą.

Najlepszym sposobem na zwalczanie tego jest # 1 Upewnij się, że rekursywne są wyłączone, # 2 zwraca odpowiedź NXDomain, upewniając się, że twoja strefa kropek (.) Nie zawiera żadnych rekordów, w tym rekordów serwera nazw. Spowoduje to zwrócenie najmniejszego pakietu w odpowiedzi, a część wzmocnienia ataku zostanie w większości unieważniona.