Een uitgebreide toegangslijst gebruiken (aanbevolen): Met uitgebreide toegangslijsten kunt u filteren op basis van bron-/bestemmings-IP-adres, protocol en poort. Dit is veel nauwkeuriger en veiliger dan een standaard toegangslijst.

```

toegangslijst uitgebreid DENY_DNS_53 weigeren tcp elke willekeurige eq 53

toegangslijst uitgebreid DENY_DNS_53 deny udp elke willekeurige eq 53

```

Hierdoor wordt een uitgebreide toegangslijst gemaakt met de naam `DENY_DNS_53`. De lijnen doen het volgende:

* `deny tcp any any eq 53`:Weigert TCP-verkeer naar poort 53 (gebruikt voor sommige DNS-query's). 'elke' betekent elk bron- en bestemmings-IP-adres.

* `deny udp any any eq 53`:Weigert UDP-verkeer naar poort 53 (de primaire poort die wordt gebruikt voor DNS). 'elke' betekent opnieuw elk bron- en bestemmings-IP-adres.

De toegangslijst toepassen: Deze toegangslijst moet worden toegepast op een interface, bijvoorbeeld:

```

interface GigabitEthernet0/0

ip-toegangsgroep DENY_DNS_53 uit

```

Dit past de toegangslijst toe op het uitgaande verkeer van interface `GigabitEthernet0/0`. Wijzig 'out' in 'in' om inkomend verkeer te filteren. Vervang `GigabitEthernet0/0` door de daadwerkelijke interface die u wilt bedienen.

Een standaardtoegangslijst gebruiken (minder nauwkeurig, over het algemeen niet aanbevolen): Standaardtoegangslijsten filteren alleen op basis van bron-IP-adressen. U kunt de poort niet specificeren met een standaard toegangslijst, waardoor deze ongeschikt is voor deze specifieke taak, tenzij u verkeer van een specifiek IP *volledig* wilt weigeren, ongeacht de poort. Het zou veel breder zijn en de kans groter zijn dat het legitieme verkeer wordt verstoord. Vermijd deze aanpak voor DNS-filtering.

Belangrijke overwegingen:

* Plaatsing: Denk goed na over waar u de toegangslijst toepast. Als u het te breed toepast, kan dit uw eigen DNS-resolutie verstoren. Het is vaak het beste om het toe te passen op een interface die zich dichter bij de apparaten of gebruikers bevindt die u wilt beperken.

* Interne DNS: Als u een interne DNS-server heeft, zorg er dan voor dat deze niet wordt beïnvloed door deze toegangslijst. Mogelijk hebt u aanvullende regels nodig om verkeer van en naar uw interne DNS-server toe te staan.

* Andere poorten: DNS kan soms andere poorten gebruiken. Hoewel 53 de standaard is, moet u mogelijk aanvullende regels overwegen als u vermoedt dat er alternatieve poorten worden gebruikt.

* Firewall: Overweeg een firewall (zoals pfSense, OPNsense of een speciale hardwarefirewall) voor een robuustere en geavanceerdere netwerkbeveiliging. Firewalls bieden over het algemeen geavanceerdere functies voor het controleren van verkeer dan eenvoudige toegangslijsten.

Test uw wijzigingen in de toegangslijst altijd in een testomgeving voordat u deze op uw productienetwerk toepast. Verkeerd geconfigureerde toegangslijsten kunnen de netwerkconnectiviteit ernstig verstoren.