Вопрос по DNS

nubik

@werter галочку поставил-ничего пока не поменялось.
DNS Forwarder был вынужден включить для pfBlockerNG (который тоже не осилил настроить), вообщем игрался с настройками. Тут руководство то просит зарезать социалки, то еще чего вздумает и все в кратчайшие сроки...

Шлюзы для ДНС почему-то если прописать то инет на ВЛАНах пропадает. Опять маршрут надо куда-то писать. Затык...

Использование 192.168.0.1 обоснованно тем что так было, а остальные подсети мне не известны и можно получить не хилый такой конфликт(так как головной офис не спрашивает у всяких шавок как и что).
Правила fw это:
на 4 этаж(тут социалки обрезал, правил много)

WAN

и LAN если нужен

Konstanti

@nubik Блин , дайте вывод tcpdump )))
куда-то же уходят DNS запросы

nubik

@Konstanti без проблем, где нажать скажите )) я серьезно) в веб интерфейсе ПФсенса нету, по ssh если только зайти.
А лучше напишите дураку- зайди по ссш на пфсенс и дай такую команду - "rf/rw"

Konstanti

@nubik Сделайте в консоли
tcpdump -i имя_интерфейса udp and port 53

nubik

@Konstanti пффф, походу я слишком фартовый или тупой: если через веб морду зайти в команд промт и экзекютнуть эту команду предварительно поглядев ИМЯ интерфейса в закладке интерфейс -ассигнед. То мы ничего не получаем, через некоторое время 504 Gateway Time-out.
Через ssh если мой сумашедший дом(офис) даст сделать-попробую.

Konstanti

@nubik из консоли
ifconfig
выбираем интерфейс
а потом запускаем tcpdump

nubik

@Konstanti висит также что ЛАН(re0), что ВАН(re1), что мой ВЛАН(re0.10)...Щас ssh попробую, ага и тут вспоминаем как выглядит pfSense по ssh - твою ж налево (

werter

@nubik said in Вопрос по DNS:

DNS Forwarder был вынужден включить для pfBlockerNG

Так Пфблокер пользует Резольвер для своей работы ) Никак не Форвардер.

У меня соц. сети заблокированы в лоб так:

1. Все ДНС-запросы принудительно завернуты на адрес пф:
   

2. На пф создан алиас:
   

3. На Лан создано правило fw:
   

Каждые 5 мин на пф перезапрашиваются адреса из алиаса выше. Всё.
Повторюсь, что это защита "от дурака". Ее не трудно обойти, но пока хватает.

@nubik

В ваших правилах по соцсетям надо пользовать reject, а не block. Иначе многие страницы в Сети будут оч. долго открываться (скрипты\ссылки на соцсети сейчас почти на всех страницах присутствуют ) Рекмендую изменить правила.

nubik

@werter Учту на будующее спасибо большое. Я помню что и через резолвер делал, а потом через форвард че-то мутить начал. История годичной давности-я уже забыл. Заблочил в лоб, через файрвол -рулз.

Лучше по этой теме подскажите-тут прям пробел в знаниях конкретный. Моя не понимать-толи я дурак, толи головной офис так все настроил через попу(скорее всего мы оба хороши).
Если на хостах ручками в подключении указать DNS 10.0.10.7 начинает работать

werter

А если вашим лок. машинам выдавать по DHCP 10.0.10.7 как 2-й или 3-й ДНС?

nubik

@werter :)) целую в десны, ставлю пиво!!!
Как очередной костыль-надо срочно пойдет.
Теперь можно спокойно разбираться-что не так в моих настройках.

п.с. кстатии юмор, если заходить через Chrome ololo.loc - то он идет в гугель, если http:\ololo.loc - то все норм. Через IE работает норм. Проверял на компе включенным в головной офис напрямую, минуя шлюз.

С резолвером по-моему была проблема в подмене сертификатов SLL... Но могу ошибаться-было давно. Проверю в понедельник.

werter

Если на пф пользовать Резольвер, то в его настройках возможно указать ,что такую-то доменную зону обслуживает ДНС-сервер с таким-то IP. После локальным клиентам в кач-ве ДНС выдавать только ip пф.

Но опять же, это требует полного заворота всего ДНС-трафика на лок. адрес пф.

Думаю, что это самое красивое решение )

nubik

@werter я такое на форвардере прописывал, кстатии, но там не прокатило :)
Объясните мне по-проще чем форвардер от резолвера отличается? Если не затруднит (честно скажу гуглил, читал, во многих статьях типа одно и тоже-от того и кеси-месь в голове), в работе никогда их не видел/не использовал

werter

Форвардер не так гибок. В кач-ве Резольвера на пф живет Unbound - достаточно мощное решение, в к-ом можно ого-го сколько понакручивать )

И еще. Перед проверкой на лок. машинах того, что накрутите на пф с ДНС крайне рекомендую чистить кеш браузеров и кеш ДНС ОС (в Win это ipconfig /flushdns в ком. строке)

@nubik
Рекомендую цикл linkmeup.gitbook.io/sdsm/ Доходчиво и интересно

werter

@Konstanti
Вы хороший спец. Но начинаете решение проблем с самого сложного )
Замечено неоднократно на этом форуме.

Konstanti

@werter
Это же основы диагностики ))
Прежде чем тыкать кнопочки )) надо же разобраться, что и как настроено )

werter

Я седня на себе прочувствовал такие "основы". Вместо того, чтобы проверить доступность сервера в отделении простым пингом после немного "странной" перезагрузки, мы ТРИ часа с местным итишником пытались его жестко реанимировать (лечили "живой" сервер). Ну его в Караганду )

nubik

@werter в отделении, реанимировать. Вы в больнице работаете? Ммм..просто раньше тоже работал. Ну это так-пятничный флуд)

werter

Не-не ) Отделение - это филиал.