#dns #windows-server-2019
Вопрос:
BIND9 имеют очень хорошую функцию RPZ.
Вы можете создать зону DNS (например, вредоносное ПО) и добавить в нее вредоносные домены. DNS-сервер в ответ выдает мой определенный IP-адрес, он же DNS-брандмауэр
[zone file]
...
$ORIGIN com.malware.
$TTL 5 ; 5 seconds
example A 127.0.0.1
[request]
$ dig example.com short
127.0.0.1
[log]
(example.com): rpz QNAME Local-Data rewrite example.com/A/IN via example.com.malware
Мне интересно, имеют ли DNS Windows Server 2019 такую же встроенную функциональность?
Я прочитал всю документацию, касающуюся политики DNS, без всякой удачи
Комментарии:
1. Хорошо, я думаю, что мне нужно поиграть с командой
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com"2. Но это приведет к тайм-ауту, так что для меня это не вариант :/
3. Только
-action denyбыстрая реакция и возврат нулевого ответа