Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfsense прозр. бридж

    Scheduled Pinned Locked Moved Russian
    8 Posts 3 Posters 427 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kswksw
      last edited by kswksw

      Добрый день.
      Прошу помощи у специалистов.
      Пробую реализовать на сабже прозрачный бридж с редиректом DNS-запросов на него самого (по статье на сайте "Redirecting Client DNS Requests")
      Схема сети такая :

      host1(192.168.10.11) - внутр.net 192.168.10.0/24 - FW (pfsense 2.7.0 192.168.10.113) - внеш. net 192.168.10.0/24 - GW (192.168.10.12 + 192.168.0.12) - ROUTER (192.168.0.1) -> inet

      На ПФ :

      1. создаю бридж из LAN и WAN, назван TRBR (bridge0), вешаю на него адрес для управления 192.168.10.113
      2. на ПФ включен DNS Resolver с Forwarding Mode на 192.168.0.1
      3. делаю правило по указанному мануалу для перехвата DNS, изменяю только интерфейс с LAN на TRBR - создалось правило NAT, редирект запросов DNS на 127.0.0.1:53, при этом создалось линкованное правило, разрешающее DNS-запросы 192.168.10.0 -> 127.0.0.1:53

      с host1 делаю "ping somehost" или "nslookup somehost" или "nslookup somehost 8.8.8.8" - наблюдаю следующее:
      (somehost - это хост в инете, яндекс или гугл , почему-то не позволяет в посте указать реальное имя, ругается)

      1. вижу в логах, что линкованное правило срабатывает несколько раз
      2. каких-либо блокированных запросов, связанных с DNS - в логах нет
      3. в States появляются строка вида -
        TRBR udp 192.168.10.11:59464 -> 127.0.0.1:53 (8.8.8.8:53) NO_TRAFFIC:SINGLE 2 / 0 132 B / 0 B
        т.е. нет ответных пакетов от хоста-получателя
      4. в tcpdump на lo0 нет ничего в этот момент, на bridge0 - только запросы (несколько штук) на указанный сервер, ответов нет.

      Т.е. пакеты где-то дропаются втихую
      Подскажите плз, куда копать ?

      werterW 1 Reply Last reply Reply Quote 0
      • werterW
        werter @kswksw
        last edited by werter

        Добрый
        @kswksw
        Зачем вы ЛАН с ВАН в бридж суете? Что за задача такая? Так точно в 99% случаев никто не делает.
        Пф - это софтовый роутер прежде всего. Вы из него ЧТО пытаетесь сделать?

        K 1 Reply Last reply Reply Quote 0
        • K
          kswksw @werter
          last edited by

          @werter
          Добрый день.

          Потому что мне так надо :)
          Нужен т.н. прозрачный бридж, чтобы воткнуть его между роутером во внеш. сеть и внутр. сеткой - и на нем рулить трафиком.
          Но мой вопрос был не об этом. И "пф - софтовый роутер" - не роутер , а файрволл ! и у многих FW есть такой режим - прозр. бридж - вот он мне и нужен.

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @kswksw
            last edited by

            @kswksw
            Здравствуйте

            я верно понимаю , что потом пакеты DNS запросов идут на 192.168.0.1 ? Это тоже DNS сервер ???
            Доходят ? Ответы есть от 192.168.0.1 ?

            K 1 Reply Last reply Reply Quote 0
            • K
              kswksw @Konstanti
              last edited by kswksw

              @Konstanti
              Добрый день.
              Они должны туда (на 192.168.0.1) перенаправляться - но такого не происходит.
              Т.е сперва отрабатывает правило перехвата запросов DNS - запросы , идущие через FW, перехватываются и перенаправляются в Unbound DNS на самом FW (127.0.0.1:53),
              а у него в настройках upstream server=192.168.0.1.
              NAT вроде как срабатывает - в логах вижу отработку линкованного правила.
              Так же появляется запись в States, как написал в 1ом посте.
              Т.е перенаправление вроде бы сработало - но не вижу coотв. трафика в дампе на lo0, в States - в нужной строке тоже показывает, что нет ответных пакетов, только исходящие. в логах Unbound DNS тоже ничего не появляется при этом.
              Такое ощущение, что пакет запроса только якобы направляется в 127.0.0.1:53, а на самом деле где-то дропается втихую.
              Т.к. в логах никаких дропов в этот момент не пишется.

              Если бы срабатывали default rules - так они тоже в логе видны, дропают SMB и DHCP - а чего-либо про DNS в логах не появляется (ну кроме сработки линкованного правила).

              Может, еще какие мысли есть - как это отдебажить ?

              K K 2 Replies Last reply Reply Quote 0
              • K
                Konstanti @kswksw
                last edited by Konstanti

                @kswksw said in pfsense прозр. бридж:

                Unbound DNS

                Попробуйте сделать так
                1 останавливаете службу Unbound DNS в настройках PF (не блокируете , а просто останавливаете )
                2 из консоли запускаете такую команду
                unbound -d -vv -c unbound.conf
                ( только нужно указать полный путь к unbound.conf)

                в теории , Вы должны увидеть, что происходит с Вашими запросами
                Доходят ли они до сервера или нет ( PS я сам так не делал , но подобным способом отлаживал работу FreeRadius сервера )

                K 1 Reply Last reply Reply Quote 0
                • K
                  kswksw @kswksw
                  last edited by

                  @kswksw
                  Кажется, сам разобрался :)
                  Меня смутило то, что в логах и States пишется такой запрос : 192.168.10.11:xxx -> 127.0.0.1:53 - а это как-то странно.
                  Поменял в настройках правила NAT адрес редиректа с 127.0.0.1:53 на 192.168.10.115:53 (это адрес на бридже, он нужен, чтобы сам FW мог в инет смотреть, например для NTP или проверки обновлений). Хотя в инструкции на сайте указано на 127.0.0.1:53
                  И после этого заработало.
                  Для проверки, что запросы обрабатываются самим FW - сделал в Services: Unbound DNS: Overrides "левый" сайт - при запросе к нему отдается назначенный там адрес.

                  Может кому пригодится. Тему можно закрыть.

                  1 Reply Last reply Reply Quote 0
                  • K
                    kswksw @Konstanti
                    last edited by

                    @Konstanti
                    Добрый день.
                    Я выставлял макс. дебаг в логах unbound - там ничего не появлялось. Т.е там были записи про ДНС-запросы, но только от самого ПФ (NTP и еще чего-то)
                    Спс, я уже вроде решил проблему. Хотя настройки пришлось делать не так, как в мануале на сайте.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.