阻止Juniper上的特定端口

Question

我試圖幫助有Juniper SRX550的用戶。我們想要做的是阻止DHCP池上的出站端口53，並且只有出站端口53除了爲DHCP池設置的名稱服務器（在這種情況下IP設置爲OpenDNS，但我不認爲是相關的。

set system services dhcp pool 10.0.0.0/24 name-server 208.67.222.222

設置名稱服務器，但我一直無法找到一個方法來阻止那些不打算去的OpenDNS服務器的出站DNS。

這是什麼配置看起來像目前：

dhcp { 
    pool 10.0.0.0/24 { 
     address-range low 10.0.0.10 high 10.0.0.254; 
     name-server { 
      208.67.222.222; 
      208.67.220.220; 
     } 
     router { 
      10.0.0.1; 
     } 
    } 
} 

Answer 1

的安全策略，從區到區「DHCP範圍區域的名稱」匹配源地址「你的DNS服務器區域的名稱」

組安全從策略「在地址列表中的DHCP範圍名稱」 -zone「DHCP範圍區域名稱」to-zone「您的DNS服務器區域名稱」match destination-address「地址列表中DNS服務器的名稱」

設置安全策略「zone」DHCP範圍的名稱區域「域名」您的DNS服務器區域「匹配應用程序[junos-dns-tcp junos-dns-udp]

設置安全策略從區域名稱DHCP範圍區」區‘您的DNS服務器區域

一套安全策略全局策略的名稱’，然後允許

一套安全策略的全球政策DNS_Block匹配源地址‘地址列表DHCP範圍名稱’ DNS_Block比賽中的應用[Junos的DNS-TCP Junos的DNS-UDP]

一套安全策略的全球政策DNS_Block然後拒絕

Answer 2

添加防火牆規則，拒絕端口53訪問OpenDNS服務器以外的所有IP。