Вопрос по DNS
-
@werter галочку поставил-ничего пока не поменялось.
DNS Forwarder был вынужден включить для pfBlockerNG (который тоже не осилил настроить), вообщем игрался с настройками. Тут руководство то просит зарезать социалки, то еще чего вздумает и все в кратчайшие сроки...Шлюзы для ДНС почему-то если прописать то инет на ВЛАНах пропадает. Опять маршрут надо куда-то писать. Затык...
Использование 192.168.0.1 обоснованно тем что так было, а остальные подсети мне не известны и можно получить не хилый такой конфликт(так как головной офис не спрашивает у всяких шавок как и что).
Правила fw это:
на 4 этаж(тут социалки обрезал, правил много)
WAN
и LAN если нужен
-
@nubik Блин , дайте вывод tcpdump )))
куда-то же уходят DNS запросы -
@Konstanti без проблем, где нажать скажите )) я серьезно) в веб интерфейсе ПФсенса нету, по ssh если только зайти.
А лучше напишите дураку- зайди по ссш на пфсенс и дай такую команду - "rf/rw" -
@nubik Сделайте в консоли
tcpdump -i имя_интерфейса udp and port 53 -
@Konstanti пффф, походу я слишком фартовый или тупой: если через веб морду зайти в команд промт и экзекютнуть эту команду предварительно поглядев ИМЯ интерфейса в закладке интерфейс -ассигнед. То мы ничего не получаем, через некоторое время 504 Gateway Time-out.
Через ssh если мой сумашедший дом(офис) даст сделать-попробую. -
@nubik из консоли
ifconfig
выбираем интерфейс
а потом запускаем tcpdump -
@Konstanti висит также что ЛАН(re0), что ВАН(re1), что мой ВЛАН(re0.10)...Щас ssh попробую, ага и тут вспоминаем как выглядит pfSense по ssh - твою ж налево (
-
@nubik said in Вопрос по DNS:
DNS Forwarder был вынужден включить для pfBlockerNG
Так Пфблокер пользует Резольвер для своей работы ) Никак не Форвардер.
У меня соц. сети заблокированы в лоб так:
- Все ДНС-запросы принудительно завернуты на адрес пф:
- На пф создан алиас:
- На Лан создано правило fw:
Каждые 5 мин на пф перезапрашиваются адреса из алиаса выше. Всё.
Повторюсь, что это защита "от дурака". Ее не трудно обойти, но пока хватает.В ваших правилах по соцсетям надо пользовать reject, а не block. Иначе многие страницы в Сети будут оч. долго открываться (скрипты\ссылки на соцсети сейчас почти на всех страницах присутствуют ) Рекмендую изменить правила.
- Все ДНС-запросы принудительно завернуты на адрес пф:
-
@werter Учту на будующее спасибо большое. Я помню что и через резолвер делал, а потом через форвард че-то мутить начал. История годичной давности-я уже забыл. Заблочил в лоб, через файрвол -рулз.
Лучше по этой теме подскажите-тут прям пробел в знаниях конкретный. Моя не понимать-толи я дурак, толи головной офис так все настроил через попу(скорее всего мы оба хороши).
Если на хостах ручками в подключении указать DNS 10.0.10.7 начинает работать -
А если вашим лок. машинам выдавать по DHCP 10.0.10.7 как 2-й или 3-й ДНС?
-
@werter :)) целую в десны, ставлю пиво!!!
Как очередной костыль-надо срочно пойдет.
Теперь можно спокойно разбираться-что не так в моих настройках.п.с. кстатии юмор, если заходить через Chrome ololo.loc - то он идет в гугель, если http:\ololo.loc - то все норм. Через IE работает норм. Проверял на компе включенным в головной офис напрямую, минуя шлюз.
С резолвером по-моему была проблема в подмене сертификатов SLL... Но могу ошибаться-было давно. Проверю в понедельник.
-
Если на пф пользовать Резольвер, то в его настройках возможно указать ,что такую-то доменную зону обслуживает ДНС-сервер с таким-то IP. После локальным клиентам в кач-ве ДНС выдавать только ip пф.
Но опять же, это требует полного заворота всего ДНС-трафика на лок. адрес пф.
Думаю, что это самое красивое решение )
-
@werter я такое на форвардере прописывал, кстатии, но там не прокатило :)
Объясните мне по-проще чем форвардер от резолвера отличается? Если не затруднит (честно скажу гуглил, читал, во многих статьях типа одно и тоже-от того и кеси-месь в голове), в работе никогда их не видел/не использовал -
Форвардер не так гибок. В кач-ве Резольвера на пф живет Unbound - достаточно мощное решение, в к-ом можно ого-го сколько понакручивать )
И еще. Перед проверкой на лок. машинах того, что накрутите на пф с ДНС крайне рекомендую чистить кеш браузеров и кеш ДНС ОС (в Win это ipconfig /flushdns в ком. строке)
@nubik
Рекомендую цикл linkmeup.gitbook.io/sdsm/ Доходчиво и интересно -
@Konstanti
Вы хороший спец. Но начинаете решение проблем с самого сложного )
Замечено неоднократно на этом форуме. -
@werter
Это же основы диагностики ))
Прежде чем тыкать кнопочки )) надо же разобраться, что и как настроено ) -
Я седня на себе прочувствовал такие "основы". Вместо того, чтобы проверить доступность сервера в отделении простым пингом после немного "странной" перезагрузки, мы ТРИ часа с местным итишником пытались его жестко реанимировать (лечили "живой" сервер). Ну его в Караганду )
-
@werter в отделении, реанимировать. Вы в больнице работаете? Ммм..просто раньше тоже работал. Ну это так-пятничный флуд)
-
Не-не ) Отделение - это филиал.