Tôi đang cố lấy cấu hình máy chủ isc-dhcp để sử dụng các Máy chủ DNS khác nhau dựa trên địa chỉ ip được chỉ định.
Về cơ bản, tôi muốn một số khách hàng của mình được đánh dấu là không đáng tin cậy, sau đó không thể truy cập các dịch vụ bằng url nội bộ.
Tôi đã thử sử dụng các nhóm dựa trên phạm vi, dường như không thể xử lý tùy chọn máy chủ tên miền. Tôi cũng đã thử sử dụng nhiều mạng con có cùng cấu hình ip/netmask và một chỉ thị phạm vi, điều này luôn dẫn đến các dns không đáng tin cậy đang được sử dụng. Bạn có thể thấy cả hai cấu hình bên dưới.Phạm vi IP chỉ là ví dụ, đừng quá chú ý đến chúng.

Tôi không hiểu chính xác điều gì?

Sử dụng nhóm dựa trên phạm vi

mạng con 192.168.1.0 mặt nạ mạng 255.255.255.0 {
hồ bơi {
    từ chối khách hàng không xác định;
    dãy 192.168.0.2 192.168.0.50;
    tùy chọn máy chủ tên miền 192.168.0.254;
    }
hồ bơi {
    cho phép khách hàng không xác định;
    dải 192.168.0.100 192.168.0.150;
    tùy chọn máy chủ tên miền 1.1.1.1;
    }
}

Sử dụng ip/netmask được lọc phạm vi

# Đáng tin cậy
mạng con 192.168.0.0 mặt nạ mạng 255.255.255.0 {
    tùy chọn máy chủ tên miền 192.168.0.254;
    từ chối khách hàng không xác định;
    dải 192.168.0.50 192.168.0.99;
    }

# Không đáng tin cậy
mạng con 192.168.0.0 mặt nạ mạng 255.255.255.0 {
    từ chối khách hàng không xác định;
    tùy chọn tên miền "1.1.1.1";
    dải 192.168.0.100 192.168.0.149;
    }

Đừng căn cứ bảo mật của bạn vào bảo mật thông qua che khuất.

Các thích hợp cách để cấu hình điều này là các mạng riêng biệt (về mặt vật lý hoặc sử dụng Vlan), với tường lửa để giới hạn người dùng trong các vùng được chỉ định của họ.

Chắc chắn, bạn có thể sử dụng DNS riêng, nhưng bạn nên không phải căn cứ bảo mật của bạn trên DNS không khả dụng. Cấu hình nó ngay bây giờ, trước khi nó không thể thực hiện được trong 5 năm nữa.