Wat gaan we doen:
Beveiliging van netwerk binnen (V)lan op basis van een IP Groep. Dit gaan we doen door aangepaste DNS servers te gebruiken die bijvoorbeeld 18+ verkeer blokkeert. Om de slimmerds tegen te houden staan we alleen de door ons gewenste DNS servers toe, de rest blokkeren we.
Blokkade kan middels verschillende DNS Servers. Zie daarvoor deze pagina
Wat gebruik ik in mijn voorbeeld:
In dit geval pas ik de regels op een IP groep toe, ik ga er van uit dat de Edgerouter ZELF dhcp server is. Binnen deze DHCP server zijn de Voorkeurs en alternatieve DNS ook de DNS servers waar het filter op actief is.
In mijn geval kies ik voor de volledige blokkade op mijn netwerk 192.168.69.0/24 (Gast netwerk). Mijn standaard netwerk 10.0.69.0/24 word met rust gelaten (Privé netwerk)
Ik heb gekozen voor deze DNS servers:
Preferred DNS: 199.85.126.20 Alternate DNS: 199.85.127.20
Deze DNS servers zijn van Norton en zouden grotendeels 18+, Mallware, Phishing en Scam website tegen moeten houden.
Wat moeten we doen:
Log in op de Edgerouter
- Ga naar Firewall/Nat en maak een nieuwe Ruleset WAN_OUT met als default action “Accept”
- Kies achter de Ruleset Actions en dan Edit Ruleset
- Ga naar het Tabblad Interfaces en geef je WAN interface aan (meestal eth0) en Direction out, Klik dan op Save Ruleset!!! (Anders slaat hij dit niet op)
- Klik op Rules en maak 3 regels:
Regel 1:
Basic:
Description: Allow DNS 1 199.85.126.20 Action: Accept Protocol: Both TCP and UDP
Source:
Address: 192.168.69.0/24
Destination:
Address: 199.85.126.20 Port: 53
Regel 2:
Basic:
Description: Allow DNS 2 199.85.127.20 Action: Accept Protocol: Both TCP and UDP
Source:
Address: 192.168.69.0/24
Destination:
Address: 199.85.127.20 Port: 53
Regel 3:
Basic:
Description: Block other DNS Action: Drop Protocol: Both TCP and UDP
Source:
Address: 192.168.69.0/24
Destination:
Port: 53
Resultaat:
Testen:
Het testen van DNS kan met nslookup. Deze tool standaard in Windows ingebouwd kan een website opvragen, of een website opvragen via een op te geven DNS server.
Test eerst of je gewone netwerk toegang heeft tot de DNS server van Google (8.8.8.8)
C:\Users\Sebastiaan>nslookup www.google.nl 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: www.google.nl
Addresses: 2a00:1450:400e:802::2003
74.125.206.94
En dan vanuit je geblokkeerde netwerk:
C:\Users\Sebastiaan>nslookup www.google.nl 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out
En dan de grote test, kijken of je bijvoorbeeld een 18+ website kan openen. Als het goed is niet…