Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Блокируется пересылка запросов DNS

    Scheduled Pinned Locked Moved Russian
    8 Posts 3 Posters 986 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • U
      ultra
      last edited by

      Есть одна маленькая сеть. В ней 2 контроллера домена с установленными службами DNS. Клиентам выдаются адреса этих двух КД как основные DNS сервера. На самом pfsense dns ресолвинг и форвардер отключены. При формировании сети обоим КД правилами фаервола был дан полный доступ в интернет. Позже, чтобы клиенты не делали запросы в обход основных dns серверов было создано правило, поставленное выше разрешающего, и в котором было указано - блокировать запросы от всех кроме КД, если они идут на порт 53. На клиентах проверял, запросы на другие сервера не проходят. Теперь решил отключить полный доступ в интернет для этих двух КД. Но после того как я убираю полный доступ, DNS запросы по внешним зонам не отрабатываются. На КД настроена пересылка запросов на провайдерские и корневые сервера.
      Разве ещё какой-то порт необходим,кроме 53, для разрешения имён? Или у меня что-то с правилами?
      Screenshot-2019-7-2 pfSense artem mfartem com ua - Firewall Rules LAN.png

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @ultra
        last edited by Konstanti

        @ultra Здр
        Логика такова , что нужно второе правило , которое разрешает DNS запросы от dns_lan_ servers

        Т е я лично вижу 2 алгоритма решения этой проблемы
        Вариант 1
        1 правило разрешает 53 порт dns для dns_lan_servers
        2 правило запрещает 53 порт для всех остальных
        3 блокируем все для dns_lan_servers

        Вариант 2
        1 запрещаем 53 порт для всех хостов не из группы dns_lan_servers (ваш вариант)
        2 разрешаем 53 порт для всех остальных
        3 блокируем все для dns_lan_servers

        werterW 1 Reply Last reply Reply Quote 1
        • werterW
          werter @Konstanti
          last edited by

          Добрый

          В этом случае ничего ЯВНО запрещать не надо. Хватит ОДНОГО разрешающего правила для DC

          U 1 Reply Last reply Reply Quote 1
          • U
            ultra @werter
            last edited by

            @werter
            Не понял почему не надо? Если правила нету,то клиенты смогут ресолвить адреса, используя тот же nslookup, к примеру чтобы потом ходить по ip.

            K werterW 2 Replies Last reply Reply Quote 0
            • K
              Konstanti @ultra
              last edited by Konstanti

              @ultra Немного откорректировал свое видение решения проблемы
              решение написано с учетом того, что не виден весь список правил , а только кусок

              1 Reply Last reply Reply Quote 0
              • werterW
                werter @ultra
                last edited by

                @ultra said in Блокируется пересылка запросов DNS:

                @werter
                Не понял почему не надо? Если правила нету,то клиенты смогут ресолвить адреса, используя тот же nslookup, к примеру чтобы потом ходить по ip.

                Правило пф: все что не разрешено ЯВНО - запрещено.

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @werter
                  last edited by

                  @werter По-моему , на lan интерфейсе это не так

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    @ultra
                    В ЛС.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.