Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Alle subdomains einer Domain sperren

    Scheduled Pinned Locked Moved Deutsch
    12 Posts 6 Posters 2.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by

      Ahoi Musk,

      da drängt sich die Frage erstmal auf: warum? Was ist da böse dran?

      Ansonsten: Möglichkeiten gäbe es hier mit Proxys und Blocklisten aber insgesamt wird das dann wohl ein Rennen werden, wer am Schnellsten neue Domains/Subdomains hinzufügt. Aber ohne Proxy sehe ich an der Stelle jetzt eher schwarz außer man könnte da was mit Snort o.ä. basteln, was in den Datenstrom wirklich reinschaut.

      Eine andere Möglichkeit die mir gerade aber auffällt wäre, eine Liste der Domains für diverse Anbieter zu erstellen/laden und diese Liste im DNS der pfSense zu blackholen (auf 127.0.0.1 verweisen lassen bspw.). Setzt aber voraus, dass alle Clients die pfSense als DNS Client nutzen, ändert das jemand wäre die Methode im Eimer, außer du blockst das Nutzen anderer DNS Server aus dem LAN.

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      1 Reply Last reply Reply Quote 0
      • M
        musk
        last edited by

        Könntest du näher drauf eingehen auf den letzten Punkt mit den DNS-Server?

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Auf was genau? Das Blocken von externem DNS und umschreiben des eigenen?

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • M
            musk
            last edited by

            Genau das ;) Ich habe leider 0 Erfahrung ;(

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Simpel: du blockst abgehend vom LAN nach ANY udp/53 und tcp/53 (safety first) und erlaubst nur noch Zugriff auf die pfSense auf udp/53. Da machst du dann den DNS Forwarder oder Resolver an und konfigurierst unter den local overwrites eben die dyndns Domains um auf bspw. 127.0.0.1. Dann brechen Zugriffe auf diese Domains immer ab, da sie versuchen localhost aufzurufen. Funktioniert aber eben nur dann wenn man jegliche andere Namensauflösung wegblockt und nur seinen eigenen DNS erlaubt.

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • M
                musk
                last edited by

                Geht das auch für *.dyndns.org undso?
                Weil ich kann ja kaum jede subdomain eintragen ^^

                1 Reply Last reply Reply Quote 0
                • H
                  hege
                  last edited by

                  Sollte quick&dirty mit dem Domain Override gehen, gib dort einfach eine bestimme IP die keinen NS betreibt und im Idealfall aber durch die FW geroutet werden müsste, dann gibt es einen Timeout und mit einer passenden FW Regel kannst du dir dann auch anzeigen lassen, wer das denn gerne genutzt hätte.

                  1 Reply Last reply Reply Quote 0
                  • P
                    peterhart
                    last edited by

                    Hallo,
                    hier meine Variante.

                    Host-Sperrlisten:
                    https://forum.pfsense.org/index.php?topic=98127.msg547529#msg547529

                    Domänen:
                    https://forum.pfsense.org/index.php?topic=98966.msg562117#msg562117

                    Gruß
                    Peter

                    1 Reply Last reply Reply Quote 0
                    • M
                      musk
                      last edited by

                      Danke Peter :)

                      Gibt es noch irgendeine Syntax um *. dyndns.org zu blockieren?

                      1 Reply Last reply Reply Quote 0
                      • magicteddyM
                        magicteddy
                        last edited by

                        Moin,

                        wenn ich im DNS Forwarder "pfsense.org" erde kann ich auch forum.pfsense.org nicht mehr erreichen, das sollte doch reichen  ;)

                        -teddy

                        pfSenseDNSForwrder.jpg
                        pfSenseDNSForwrder.jpg_thumb

                        @Work Lanner FW-7525B pfSense 2.7.2
                        @Home APU.2C4 pfSense 2.7.2
                        @CH APU.1D4 pfSense 2.7.2

                        1 Reply Last reply Reply Quote 0
                        • GruensFroeschliG
                          GruensFroeschli
                          last edited by

                          Das sollte helfen:
                          https://doc.pfsense.org/index.php/Wildcard_Records_in_DNS_Forwarder/Resolver

                          We do what we must, because we can.

                          Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.