pfsense прозр. бридж
-
Добрый день.
Прошу помощи у специалистов.
Пробую реализовать на сабже прозрачный бридж с редиректом DNS-запросов на него самого (по статье на сайте "Redirecting Client DNS Requests")
Схема сети такая :host1(192.168.10.11) - внутр.net 192.168.10.0/24 - FW (pfsense 2.7.0 192.168.10.113) - внеш. net 192.168.10.0/24 - GW (192.168.10.12 + 192.168.0.12) - ROUTER (192.168.0.1) -> inet
На ПФ :
- создаю бридж из LAN и WAN, назван TRBR (bridge0), вешаю на него адрес для управления 192.168.10.113
- на ПФ включен DNS Resolver с Forwarding Mode на 192.168.0.1
- делаю правило по указанному мануалу для перехвата DNS, изменяю только интерфейс с LAN на TRBR - создалось правило NAT, редирект запросов DNS на 127.0.0.1:53, при этом создалось линкованное правило, разрешающее DNS-запросы 192.168.10.0 -> 127.0.0.1:53
с host1 делаю "ping somehost" или "nslookup somehost" или "nslookup somehost 8.8.8.8" - наблюдаю следующее:
(somehost - это хост в инете, яндекс или гугл , почему-то не позволяет в посте указать реальное имя, ругается)- вижу в логах, что линкованное правило срабатывает несколько раз
- каких-либо блокированных запросов, связанных с DNS - в логах нет
- в States появляются строка вида -
TRBR udp 192.168.10.11:59464 -> 127.0.0.1:53 (8.8.8.8:53) NO_TRAFFIC:SINGLE 2 / 0 132 B / 0 B
т.е. нет ответных пакетов от хоста-получателя - в tcpdump на lo0 нет ничего в этот момент, на bridge0 - только запросы (несколько штук) на указанный сервер, ответов нет.
Т.е. пакеты где-то дропаются втихую
Подскажите плз, куда копать ? -
Добрый
@kswksw
Зачем вы ЛАН с ВАН в бридж суете? Что за задача такая? Так точно в 99% случаев никто не делает.
Пф - это софтовый роутер прежде всего. Вы из него ЧТО пытаетесь сделать? -
@werter
Добрый день.Потому что мне так надо :)
Нужен т.н. прозрачный бридж, чтобы воткнуть его между роутером во внеш. сеть и внутр. сеткой - и на нем рулить трафиком.
Но мой вопрос был не об этом. И "пф - софтовый роутер" - не роутер , а файрволл ! и у многих FW есть такой режим - прозр. бридж - вот он мне и нужен. -
@kswksw
Здравствуйтея верно понимаю , что потом пакеты DNS запросов идут на 192.168.0.1 ? Это тоже DNS сервер ???
Доходят ? Ответы есть от 192.168.0.1 ? -
@Konstanti
Добрый день.
Они должны туда (на 192.168.0.1) перенаправляться - но такого не происходит.
Т.е сперва отрабатывает правило перехвата запросов DNS - запросы , идущие через FW, перехватываются и перенаправляются в Unbound DNS на самом FW (127.0.0.1:53),
а у него в настройках upstream server=192.168.0.1.
NAT вроде как срабатывает - в логах вижу отработку линкованного правила.
Так же появляется запись в States, как написал в 1ом посте.
Т.е перенаправление вроде бы сработало - но не вижу coотв. трафика в дампе на lo0, в States - в нужной строке тоже показывает, что нет ответных пакетов, только исходящие. в логах Unbound DNS тоже ничего не появляется при этом.
Такое ощущение, что пакет запроса только якобы направляется в 127.0.0.1:53, а на самом деле где-то дропается втихую.
Т.к. в логах никаких дропов в этот момент не пишется.Если бы срабатывали default rules - так они тоже в логе видны, дропают SMB и DHCP - а чего-либо про DNS в логах не появляется (ну кроме сработки линкованного правила).
Может, еще какие мысли есть - как это отдебажить ?
-
@kswksw said in pfsense прозр. бридж:
Unbound DNS
Попробуйте сделать так
1 останавливаете службу Unbound DNS в настройках PF (не блокируете , а просто останавливаете )
2 из консоли запускаете такую команду
unbound -d -vv -c unbound.conf
( только нужно указать полный путь к unbound.conf)в теории , Вы должны увидеть, что происходит с Вашими запросами
Доходят ли они до сервера или нет ( PS я сам так не делал , но подобным способом отлаживал работу FreeRadius сервера ) -
@kswksw
Кажется, сам разобрался :)
Меня смутило то, что в логах и States пишется такой запрос : 192.168.10.11:xxx -> 127.0.0.1:53 - а это как-то странно.
Поменял в настройках правила NAT адрес редиректа с 127.0.0.1:53 на 192.168.10.115:53 (это адрес на бридже, он нужен, чтобы сам FW мог в инет смотреть, например для NTP или проверки обновлений). Хотя в инструкции на сайте указано на 127.0.0.1:53
И после этого заработало.
Для проверки, что запросы обрабатываются самим FW - сделал в Services: Unbound DNS: Overrides "левый" сайт - при запросе к нему отдается назначенный там адрес.Может кому пригодится. Тему можно закрыть.
-
@Konstanti
Добрый день.
Я выставлял макс. дебаг в логах unbound - там ничего не появлялось. Т.е там были записи про ДНС-запросы, но только от самого ПФ (NTP и еще чего-то)
Спс, я уже вроде решил проблему. Хотя настройки пришлось делать не так, как в мануале на сайте.