Os detalhes da lista de acesso dependem do seu equipamento de rede (Cisco, Juniper etc.) e do tipo de lista de acesso (padrão ou estendido). Aqui estão exemplos para dispositivos Cisco iOS, o cenário mais comum:

Usando uma lista de acesso estendida (recomendada): As listas de acesso estendidas permitem filtrar com base no endereço IP de origem/destino, protocolo e porta. Isso é muito mais preciso e seguro do que uma lista de acesso padrão.

`` `
Lista de acesso Deny_dns_53 negar o TCP qualquer Eq 53
Lista de acesso Deny_DNS_53 negar UDP qualquer Eq 53
`` `

Isso cria uma lista de acesso estendida chamada `Deny_DNS_53`. As linhas fazem o seguinte:

* `Negar o TCP qualquer Eq 53`:nega o tráfego TCP na porta 53 (usado para algumas consultas DNS). `qualquer" significa qualquer endereço IP de origem e destino.
* `Negar UDP qualquer Eq 53`:nega o tráfego UDP para a porta 53 (a porta primária usada para DNS). `qualquer" novamente significa qualquer endereço IP de origem e destino.

Aplicando a lista de acesso: Esta lista de acesso precisa ser aplicada a uma interface, por exemplo:

`` `
interface gigabitethernet0/0
IP Access-Group Deny_DNS_53 Out
`` `

Isso aplica a lista de acesso ao tráfego de saída da interface `gigabitethernet0/0`. Alterar `out` para` in` para filtrar o tráfego de entrada. Substitua `gigabitetherNet0/0` pela interface real que você deseja controlar.


Usando uma lista de acesso padrão (menos precisa, geralmente não recomendada): Listas de acesso padrão filtro apenas com base nos endereços IP de origem. Você não pode especificar a porta com uma lista de acesso padrão, tornando-a inadequada para esta tarefa específica, a menos que deseje negar o tráfego de um IP específico *inteiramente *, independentemente da porta. Seria muito mais amplo e mais provável que interrompa o tráfego legítimo. Evite essa abordagem para a filtragem DNS.


Considerações importantes:

* posicionamento: Considere cuidadosamente onde você aplica a lista de acesso. A aplicação muito amplamente pode atrapalhar sua própria resolução DNS. Muitas vezes, é melhor aplicá -lo a uma interface mais próxima dos dispositivos ou usuários que você deseja restringir.
* DNS interno: Se você possui um servidor DNS interno, verifique se ele não é afetado por esta lista de acesso. Você pode precisar de regras adicionais para permitir o tráfego de e para o seu servidor DNS interno.
* Outras portas: Às vezes, o DNS pode usar outras portas. Embora 53 seja o padrão, pode ser necessário considerar regras adicionais se suspeitar que portas alternativas estiverem sendo usadas.
* firewall: Considere um firewall (como PFSense, Opnsense ou um firewall de hardware dedicado) para uma segurança de rede mais robusta e sofisticada. Os firewalls geralmente oferecem recursos mais avançados para controlar o tráfego do que as listas de acesso simples.


Sempre teste suas alterações na lista de acesso em um ambiente de teste antes de aplicá-las à sua rede de produção. As listas de acesso configuradas incorretamente podem interromper severamente a conectividade da rede.