阻止Juniper上的特定端口

Question

我试图帮助有Juniper SRX550的用户。我们想要做的是阻止DHCP池上的出站端口53，并且只有出站端口53除了为DHCP池设置的名称服务器（在这种情况下IP设置为OpenDNS，但我不认为是相关的。

set system services dhcp pool 10.0.0.0/24 name-server 208.67.222.222

设置名称服务器，但我一直无法找到一个方法来阻止那些不打算去的OpenDNS服务器的出站DNS。

这是什么配置看起来像目前：

dhcp { 
    pool 10.0.0.0/24 { 
     address-range low 10.0.0.10 high 10.0.0.254; 
     name-server { 
      208.67.222.222; 
      208.67.220.220; 
     } 
     router { 
      10.0.0.1; 
     } 
    } 
} 

Answer 1

的安全策略，从区到区“DHCP范围区域的名称”匹配源地址“你的DNS服务器区域的名称”

组安全从策略“在地址列表中的DHCP范围名称” -zone“DHCP范围区域名称”to-zone“您的DNS服务器区域名称”match destination-address“地址列表中DNS服务器的名称”

设置安全策略“zone”DHCP范围的名称区域“域名”您的DNS服务器区域“匹配应用程序[junos-dns-tcp junos-dns-udp]

设置安全策略从区域名称DHCP范围区”区‘您的DNS服务器区域

一套安全策略全局策略的名称’，然后允许

一套安全策略的全球政策DNS_Block匹配源地址‘地址列表DHCP范围名称’ DNS_Block比赛中的应用[Junos的DNS-TCP Junos的DNS-UDP]

一套安全策略的全球政策DNS_Block然后拒绝

Answer 2

添加防火墙规则，拒绝端口53访问OpenDNS服务器以外的所有IP。