我试图找出一种方法让我们的 Fortigate 60C 重定向某些子域,但不阻止对域的完全访问。
EG 我想阻止 update.microsoft.com 但我不希望 microsoft.com 或 office.microsoft.com 被阻止。
我当前的设置阻止了整个域。尽管我指定了一个主机名,但我确实觉得这很奇怪。
config system dns-database
edit "test"
config dns-entry
edit 2
set hostname "update"
set ip 1.1.1.1
next
end
set domain "microsoft.com"
我的目标是阻止某些软件访问某些 URL,以防止设备下载更新或打电话回家。
1.1.1.1 设置为环回。
阻止访问设备本身不是一种选择。
我相信您会为此使用“DNS 过滤器”。它可以选择通过“静态域过滤器”来阻止域。在其中,您可以指定子域的任意组合,这比dns-database选项更易于管理。然后,您可以将 DNS 过滤器应用于任何相关的 IPv4 策略对象,这些对象应该阻止对这些相应域的访问。
例如(从 OS 5.6 显示):
config dnsfilter domain-filter
edit 0
set name "block-updates"
config entries
edit 1
set domain "updates.microsoft.com"
set action block
next
end
next
end
请注意从上面的块创建的 ID 号,并<id>在下面的块中使用它。(请注意,选项卡扩展也将起作用。)
config dnsfilter profile
edit "Block Updates"
config domain-filter
set domain-filter-table <id>
end
next
end
在 GUI 中进行配置要容易一些,因为域列表和配置文件之间没有来回切换。
然后在一项或多项政策上启用它:
config firewall policy
edit <id>
set utm-status enable
set dnsfilter-profile "Block Updates"
next
end