Dns solo consulta al pfsense (Solucionado)
-
@ptt:
Por debajo debe existir alguna otra regla que permita trafico a la IP de la LAN, para que lleguen las "consultas DNS"… o no navegas :P
¿Y esa como lo haría?, muchas gracias por la ayuda :)
¿solo yo tengo problemas para subir imagenes?, no me deja el foro, me marca error :(
-
@ZAC:
¿solo yo tengo problemas para subir imagenes?, no me deja el foro, me marca error :(
¿No serán demasiado grandes? Hay un límite de tamaño… Lo dice...
-
Parece ser que "habían" problemas respecto al tema "adjuntar archivos"
https://forum.pfsense.org/index.php?topic=82338.0
-
Parece que continua, porque quise subir una de 4k, otra de 44k y nada, error :(
-
Bueno la subí a otro lado, ¿la regla quedaría así?
-
Si no se quieren DNS externos basta con que NO exista una regla para UDP que permita como destino el puerto 53.
También se pueden poner reglas de bloqueo, pero es menos eficiente.
La reglas en LAN suelen ser de paso. Y si no están, no hay paso. No es necesario (por lo general) introducir reglas de bloqueo.
Espero haberme explicado…
-
Es cierto, en escenarios tales como Empresas, Instituciones Educativas, etc… Pero en el caso de un WISP/ISP generalmente se restringe menos o nada...
En nuestro caso (pequeño WISP), por ejemplo, sólo se "controla" el tema "DNS" y "puerto 25" el resto "pasa todo" ;)
Creo que a veces omitimos aclarar el "escenario/entorno" en el que aplicamos lo que "mencionamos/compartimos" en el foro, y no todos utilizan pfSense de la misma forma o en un mismo entorno.
-
Cierto me disculpo por no aclarar eso, me disculpo, bueno, de hecho, es que yo nunca le puse ninguna regla desde que instale el primer pfSense, simplemente, así como estaba me permitió todo, ahora que hice un balanceo de cargas, solo agregue la regla que aparecía en el manual que esta en la documentación.
ptt, ¿pero no el puerto 25 si esta cerrado es para los correos electrónicos? o.O
Entones, están esas dos reglas, agrego una imagen de como esta ahora (aun no agrego la regla que me han dicho estoy armando otro pfsense para probar :P)
-
En tus reglas; la tercera regla nunca aplicará, ya que la segunda aplica primero y vale para todo el trafico de cualquiera de los host de la LAN hacia cualquier destino
Cualquier regla para "bloqueo" deberías ponerla por encima de la segunda regla (creo que ya sabes eso, pero por las dudas lo repito)
Puerto 25 –> SMTP, Si, bloqueado para cualquier destino que NO sea "Nuestro" servidor de correo
-
Ok la eliminare si es que no tiene caso que este ahí :)
-
Bueno, aplique la regla, funciona muy "bien" excepto, porque carga facebook, todo lo que probe usando DNS externos, todo lo bloequea, pero si pongo facebook.com si entra, :(, pero bueno ahí la dejaré.
Una pregunta más, ptt, eh andado buscando una regla que usted coloco, no se si en este foro, o en otro, para evitar que en nuestra red lan nos levanten un servidor dhcp y nos venga a molestar, disculpe que le pregunte.
Muchas gracias a todos.
-
@ZAC:
he andado buscando una regla que usted coloco, no se si en este foro, o en otro, para evitar que en nuestra red lan nos levanten un servidor dhcp y nos venga a molestar, disculpe que le pregunte.
No, ZAC, aquí no fue… Fue en el Foro de Ubiquiti.... en un Hilo respecto a "tener los CPE's en Bridge" y "Reglas de FW en airOS"
-
Muchas gracias, disculpas, bueno, ah sufear en los foros :D
-
@ZAC:
Bueno, aplique la regla, funciona muy "bien" excepto, porque carga facebook, todo lo que probe usando DNS externos, todo lo bloequea, pero si pongo facebook.com si entra, :(, pero bueno ahí la dejaré.
??? pero si la regla es para "evitar" el uso de DNS's "externos" (que no sean el DNS Forwarder del pfSense) No para bloquear Facebook ???
-
Si, osea, por si uno pone un DNS diferente, por ejemplo 8.8.8.8 de google, puse DNS externos, y empece a hacer consultas de páginas, y nada no abría nada, pero si ponia facebook.com si abría, se supone que con la regla si usan un DNS externo no abren nada no?
-
Pues fíjate que probé y "Bloquea Todo" ???
C:\Users\ptt>nslookup google.com 209.244.0.3 DNS request timed out. timeout was 2 seconds. Servidor: UnKnown Address: 209.244.0.3 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Se agotó el tiempo de espera de la solicitud a UnKnown C:\Users\ptt>nslookup facebook.com 209.244.0.3 DNS request timed out. timeout was 2 seconds. Servidor: UnKnown Address: 209.244.0.3 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Se agotó el tiempo de espera de la solicitud a UnKnown C:\Users\ptt>Y sin la regla, pasa todo ;)
C:\Users\ptt>nslookup google.com 209.244.0.3 Servidor: resolver1.level3.net Address: 209.244.0.3 Respuesta no autoritativa: Nombre: google.com Addresses: 2607:f8b0:4002:c09::65 64.233.176.100 64.233.176.113 64.233.176.139 64.233.176.101 64.233.176.138 64.233.176.102 C:\Users\ptt>nslookup facebook.com 209.244.0.3 Servidor: resolver1.level3.net Address: 209.244.0.3 Respuesta no autoritativa: Nombre: facebook.com Addresses: 2a03:2880:2130:cf05:face:b00c:0:1 173.252.120.6 C:\Users\ptt> -
Ya lo volví a probar, y ahora si, nada de nada, la vez pasada si respondía a facebook.com, sepa porque, pero bueno, ya funciona ahora si como debe de ser :)
