Jede DNS Anfrage mit der gleichen IP beantworten
-
Hallo zusammen,
ich möchte die pfSense so einrichten das eine DNS Anfrage immer mit der gleichen IP-Adresse beantwortet wird.
Sozusagen * bzw. wildcard für alles, und dann kommt immer eine bestimmte Adresse zurück. Das könnte dann ein Webserver sein welcher eine spezielle Seite ausliefert.
Alles was ich z.B. im DNS Resolver gefunden haben wäre nur *.mydomain.tld - nur möchte ich eben das jegliche Anfrage aus einem bestimmten internen Netz (Schnittstelle) mit immer der selben Adresse beantwortet wird.Hat jemand ne Idee dazu?
Würde ungerne noch ein Bind im Netz aufsetzen und das darüber machen.
Viele Grüße
Michael -
@michael-schumann said in Jede DNS Anfrage mit der gleichen IP beantworten:
ich möchte die pfSense so einrichten das eine DNS Anfrage immer mit der gleichen IP-Adresse beantwortet wird.
Sozusagen * bzw. wildcard für alles, und dann kommt immer eine bestimmte Adresse zurück. Das könnte dann ein Webserver sein welcher eine spezielle Seite ausliefert.Das halte ich für ziemlich sinnlos. Nahezu alle aufrufe in Webbrowsern geschehen heute via HTTPS. D.h., der Webserver muss erstmals ein zum aufgerufenen Hostnamen passendes SSL-Zertifikat an den Browser liefern. Tut er das nicht, weil er es nicht besitzt, zeigt der Browser die Seite auch nicht an.
Keine Ahnung, was du damit bezwecken möchtest. Ggf. wäre ein Proxy das, was du suchst. Das erfordert aber eben aus demselben Grund, dass der Proxy dem Browser bzw. dem Client bekannt ist, und dieser dem passenden Stammzertifikat vertraut.
Grüße
-
@viragomann
danke für deine Rückmeldung.Da hast Du natürlich recht. Ich möchte einem bestimmen IP-Bereich eben den Zugang zum Internet verbieten aber dennoch per Browser eine passende Seite anzeigen. Ähnlich einem Captive-Portal. Der User am Client soll damit den Hinweis erhalten das er im falschen IP-Bereich ist.
Ich dachte einfach per DNS wäre das einfach, da die User eh ihren Browser öffnen und los wollen.Hast Du eine bessere Idee wie man das umsetzen kann?
Viele Grüße
Michael -
@michael-schumann
Wie oben erwähnt, mit einem Proxy geht das normalerweise. Auf der pfSense könnte das Squid sein. Habe allerdings keine Erfahrung damit.Ruft der Client eine HTTPS-Seite auf, bekommt er dann vom Proxy ein passendes SSL-Zertifikat und die eingestellte Seite geliefert.
Das Zertifikat ist von einer CA signiert, der der Client vertrauen muss. Das Ausstellen von SSL-Zertifikaten geht also "on the fly".
Ob Squid oder Squidguard das auch beherrschen, weiß ich allerdings nicht.Ich verwende dafür einfach Reject-Regeln. Da weiß der Browser auch sofort, dass es da nicht weitergeht. Nur gibt er dann eben seine eigene Fehlermeldung aus.
-
@viragomann
okay ja das mit dem Squid wäre natürlich auch eine Möglichkeit, hatte ich so noch gar nicht drüber nachgedacht.
Das mit dem https ist natürlich ein Problem. Ich kenne die Clients nicht und kann denen kein Zertifikat einer CA unterjubeln.
Da im public Web eh fast jede Seite https ist, kommt es dann zu zig Fehlern.
Ich versuche das mal mit Squid auf der pfSense als Paket, dann spare ich mir die Maschine zusätzlich. Es geht eh nur um so 50 bis 100 Clients die ich erwarte.Viele Grüße
Michael -
@michael-schumann said in Jede DNS Anfrage mit der gleichen IP beantworten:
Ich kenne die Clients nicht und kann denen kein Zertifikat einer CA unterjubeln
Ohne ein CA Zertifikat auf den betroffenen Clients installieren zu können, kannst du die Sache gleich bleiben lassen. Die Seite würde dann nicht angezeigt.
Du könntest ebenso gut die Zielports 80 und 443 der Clients auf einen eigenen Webserver umleiten. Da könntest du auch Ausnahmen fürs Intranet einbauen. Aber das Problem bleibt dasselbe, HTTPS-Aufrufe, die ein anderes SSL-Zertifikat erwarten lassen, werden nicht angezeigt.
Setze eine Reject-Regel, dann bekommt der User die Fehlermeldung, dass die Seite nicht angezeigt werden kann, sofort.
Grüße