azure - 如何使用 NSG 规则仅将 Azure 中 DNS 的特定 IP 列入白名单?
问题描述
我想将 NSG 配置为将端口 53 列入我的内部 DNS 服务器的白名单,以及位于 168.63.129.16 的 Azure 平台 DNS,但阻止所有其他出站 DNS 连接。
我发现讨论(没有官方文档)说 DNS 流量是经过特殊处理的,因此对任何地方的通用拒绝所有出站规则都不起作用(参考 1,参考 2)。这也与我的测试一致。具体来说,这里有一些我尝试过的不能阻止 DNS 流量的出站拒绝规则:
| 资源 | 源端口 | 目的地 | 目的港 | 协议 |
|---|---|---|---|---|
| 任何 | * | 任何 | * | 任何 |
| 任何 | * | 任何 | 53 | 任何 |
| 任何 | * | <具体_IP> | * | 任何 |
| 任何 | * | <具体_IP> | 53 | 任何 |
以下是有效的方法:
| 资源 | 源端口 | 目的地 | 目的港 | 协议 |
|---|---|---|---|---|
| 任何 | * | ServiceTag => AzurePlatformDNS | * | 任何 |
但是,这会阻止到我的内部 DNS 和位于 168.63.129.16 的 Azure 平台 DNS 的流量。我可以为我的内部 DNS 设置白名单规则,但将 168.63.129.16 列入白名单似乎不起作用。
有什么方法可以专门完成我正在寻找的东西吗?(特定 IP 和 Azure 平台 DNS 的白名单)
最后,Azure 通过通用阻止所有出站 NSG 规则是否有任何其他特殊漏洞,是否有任何记录这些漏洞的地方?
解决方案
推荐阅读
- javascript - 使用 babel 编译后,为什么 const、let、arrow 函数还存在?
- c# - 为什么我无法访问此枚举器?
- ios - 在 macOS Monterey 上出现此错误:代码签名“AppAuth.framework”失败
- c++ - 依赖项没有复制 ctor 或赋值运算符时的 C++ 初始化程序列表
- python - 如何保持活力并执行telethon +烧瓶
- jquery - 为什么 jQuery-select2 自动对焦不起作用,我该如何解决?
- python - 对于熊猫数据框,使用枚举的循环运行次数超出预期
- ruby-on-rails - routes.rb 中的子域
- javascript - 使用 || 应用默认值 无需在 JS 中重新分配变量
- javascript - 如何在 Excel js 中追加数据?