Problema con regole firewall per il DNS

kiokoman

le due regole in LAN erano quasi giuste devi solo riattivare la seconda che blocca tutte le altre porte 53, e modificare da "LAN net" a "This firewall" la regola precedente e aggiungere TCP come protocollo, l'ultima è sbagliata
nella seconda foto la prima e' giusta la seconda sbagliata la terza giusta..

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

le due regole in LAN erano quasi giuste devi solo riattivare la seconda che blocca tutte le altre porte 53, e modificare da "LAN net" a "This firewall" la regola precedente e aggiungere TCP come protocollo, l'ultima è sbagliata
nella seconda foto la prima e' giusta la seconda sbagliata la terza giusta..

Scusami. Non ho capito i passaggi precisi da fare.

La seconda regola DNS l'ho disattivata momentaneamente altrimenti gli utenti non navigavano.
Devo modificare LAN NET per entrambe le regole DNS (terza e quarta regola)??
Mi potresti spiegare qual é la differenza tra LAN net e this firewall e cosa fa in questo caso specifico?
L'ultima regola in LAN la devo cancellare?

Per quanto riguarda la seconda immagine (per il NAT), perché la seconda regola è sbagliata?
Cosa dovrei fare?
Grazie

kiokoman

la terza regola va modificata da LAN Net a This Firewall
la quarta va attivata
se i pc poi non navigano i motivi possono essere:
non hai dns resolver / forwarder abilitati,
i pc prendono il dns sbagliato da dhcp server o li hai impostati a mano sbagliati
il dns che i pc devono prendere deve essere 192.168.5.x cioè l'ip di pfsense lato lan
la quinta regola va bene
la sesta va cancellata

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

la terza regola va modificata da LAN Net a This Firewall
la quarta va attivata
se i pc poi non navigano i motivi possono essere:
non hai dns resolver / forwarder abilitati,
i pc prendono il dns sbagliato da dhcp server o li hai impostati a mano sbagliati
il dns che i pc devono prendere deve essere 192.168.5.x cioè l'ip di pfsense lato lan
la quinta regola va bene
la sesta va cancellata

questa adesso la mia situazione in regola firewall LAN:

alt text

la sesta l'ho solo disabilitata momentaneamente

Per quanto riguarda i server. Ho abilitato il server DNS resolver e disabiltiato il forwarder. Gli indirizzi impostati sono questi:

alt text
Dovrei cambaire l'Ip 192.168.10.1 che è il gateway di pfsense su cui non è impostato nessun DNS (nel mikrotik) con l'Ip di pfsense lato LAN (se ho capito bene) 192.168.5.1, am non so dove fare questa modifica. Comunque l'IP 127.0.0.1 non sarebbe sufficiente per questo?

Cosa devo fare per la seconda regola NAT? Semplicemente cancellarla?
Grazie

kiokoman

il mikrotic qui non centra niente, lui si trova dopo pfsense e avra' i suoi dns non puoi farlo entrare nel pfsense e farlo riuscire in quel modo viene fuori un macello se vuoi usare in maniera completa pfsense lo devi mettere al posto del mikrotic o prima. se stai usando dns resolver con forwarder disabilitato su quella lista dovresti avere solo 127.0.0.1,
devi andare su System / General Setup e cancellare i vari dns se ne hai messo e disabilitare

DNS Server OverrideAllow DNS server list to be overridden by DHCP/PPP on WAN

quindi se la rete fosse modem -pfsense-mikrotic-lan avrebbe senso altrimenti se la rete è modem-mikrotic-pfsense-lan

pfsense gestisce e protegge solo quello che c'e' in LAN non quello che c'e' prima. se te hai pc tra il mikrotic e pfsense, pfsense non serve a nulla

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

il mikrotic qui non centra niente, lui si trova dopo pfsense e avra' i suoi dns non puoi farlo entrare nel pfsense e farlo riuscire in quel modo viene fuori un macello se vuoi usare in maniera completa pfsense lo devi mettere al posto del mikrotic o prima. se stai usando dns resolver con forwarder disabilitato su quella lista dovresti avere solo 127.0.0.1,
devi andare su System / General Setup e cancellare i vari dns se ne hai messo e disabilitare

DNS Server OverrideAllow DNS server list to be overridden by DHCP/PPP on WAN

quindi se la rete fosse modem -pfsense-mikrotic-lan avrebbe senso altrimenti se la rete è modem-mikrotic-pfsense-lan

pfsense gestisce e protegge solo quello che c'e' in LAN non quello che c'e' prima. se te hai pc tra il mikrotic e pfsense, pfsense non serve a nulla

Si lo so che il Mikrotik non c'entra niente. Infatti volevo cancellare l'IP 192.168.10.1 che non so come ci sia capitato lì. Il problema è che in General Setup l'unico Ip dns server settato che vedo è 1.1.1.1, gli altri non ci sono e non saprei quindi come modificarli o cancellarli

questa opzione è abilitata. La devo disabilitare?
Allow DNS server list to be overridden by DHCP/PPP on WAN

Si si, lo so che il pfsense dovrebbe stare prima e infatti il mio progetto finale per la mia rete LAN dovrebbe somigliare a questo progetto che credo tu abbia già visto. Il mikrotik mi servirà come smart switch per le VLAN
https://forum.netgate.com/topic/150173/condividere-stampante-in-vlan-con-pfsense

Avevo già spiegato che la mia attuale configurazione mi serve a solo titolo di studio del pfsense e mikrotik. Per quasi tutto il tempo pfsense è spento e quindi rimango solo sul mikrotik (oltre al modem dell'ISP, in verità sono sotto doppio NAT anche qui).

Però uan cosa per volta. Mis to perdendo, scusami.

Prima cosa devo cancellare gli IP dei server dns inutili

kiokoman

devi disattivare quella opzione, quegli ip li sta prendendo pfsense dal mikrotik in automatico

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

devi disattivare quella opzione, quegli ip li sta prendendo pfsense dal mikrotik in automatico

ah ecco, quindi significava letteralmente che le impostazioni locali venivano "passate sopra" da quelle proveniente dalla WAN, anche se in questo caso non sono sicuro, perché nel Mikrotik sull'interfaccia a cui è collegato il pfsense (sua porta WAN) non è impostato nessun tipo di server come invece sul bridge. Magari sono passati dal Mikrotik stesso. Boh? È un po un casino.
Ok, prossimo passo. Come cancello quei server dns indesiderati?
Non li vedo da nessuna parte?
Grazie

kiokoman

se hai disabilitato quella opzione e hai cancellato tutto da system / general controlla dhcp server / dns forwarder / dns resolver se li hai messi da qualche parte

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

se hai disabilitato quella opzione e hai cancellato tutto da system / general controlla dhcp server / dns forwarder / dns resolver se li hai messi da qualche parte

Dopo aver disabilitato quella opzione adesso mi ritrovo così:

alt text

devo eliminare anche 1.1.1.1? Per quel che so ci dovrebbe essere almeno un ip di un dns server esterno, altrimenti a chi le invia le query DNS? Giusto o mi sfugge qualcosa? Questo IP lo avevo impostato in General Setup, quindi credo possa essere modificato.
Allora quegl'altri dns lì prendeva dalla WAN?

kiokoman

dns resolver manda le richieste direttamente ai dns root servers.

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

dns resolver manda le richieste direttamente ai dns root servers.

Ok, qualche domanda se non ti dispiace.

Mi stai dicendo quindi che non è necessario l'IP 1.1.1.1 (e lo devo cancellare) se ho abilitato DNS resolver? Ma come fa il DNS resolver a conoscere già gli indirizzi dei dns root a cui inoltrare le richieste?

E nel caso fosse abilitato solo il DNS forwarded sarebbe necessario un IP tipo 1.1.1.1? Scusa ma mi piacerebbe pure capire cosa faccio.
Visto che stiamo a casa bloccati ora ho più tempo per approfondire questi argomenti anche se per me è solo un hobby.

Non mi hai detto poi se la sesta regola in firewall rules la devo cancellare e se devo cancellare pure la seconda regola NAT (la redirect per intenderci)

Grazie tante

kiokoman

si se usi dns resolver senza il forwarder abilitato 1.1.1.1 non serve e puoi cancellarlo, dns resolver ha una sua lista interna di server root a cui chiedere.

se fosse abilitato il forwarder ti servirebbero almeno 2 dns giusto nel caso il primo per qualche motivo non fosse raggiungibile

beh in realtà ti avevo già detto che la sesta regola va cancellata
https://forum.netgate.com/post/896333

si va cancellata anche la seconda in NAT

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

si se usi dns resolver senza il forwarder abilitato 1.1.1.1 non serve e puoi cancellarlo, dns resolver ha una sua lista interna di server root a cui chiedere.

se fosse abilitato il forwarder ti servirebbero almeno 2 dns giusto nel caso il primo per qualche motivo non fosse raggiungibile

beh in realtà ti avevo già detto che la sesta regola va cancellata
https://forum.netgate.com/post/896333

si va cancellata anche la seconda in NAT

Ok, quindi il resolver non ne ha bisogno e mi hai detto anche il perché. Grazie. Sono queste le informazioni che mi interessano avere. Non voglio solo agire tipo "clickka questo, disattiva quello" :-)

La mai situazione aggiornata è questa:

alt text

Quindi ho cancellato pure 1.1.1.1 come server dns.

MA c'è un problema.

Il notebook collegato alla LAN di pfsense non naviga.

Ho fatto una prova con il tool ping di pfsense e non mi risolve
gli indirizzi google. com etc, no problem inserendo invece in hostname direttamente gli IP.
Cosa devo verificare? C'è qualche opzione non abilitata per il resolver?

Queste le impostazioni in DNS resolver:

alt text
Grazie

kiokoman

hai abilitato forwarding mode ! avevi detto di averlo disabilitato.. devi disabilitare Enable Forwarding mode

sul pc apri prompt dei comandi e dai

ipconfig /all

come server dns ti deve dare solo l'ip del pfsense se ne hai altri devi verificare che sotto services / dhcp server nel campo dns ci sia solo l'ip del pfsense

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

hai abilitato forwarding mode ! avevi detto di averlo disabilitato.. devi disabilitare Enable Forwarding mode

sul pc apri prompt dei comandi e dai
ipconfig /all
come server dns ti deve dare solo l'ip del pfsense se ne hai altri devi verificare che sotto services / dhcp server nel campo dns ci sia solo l'ip del pfsense

Si si infatti, pensavo di averlo fatto. Me ne sono accorto pure io al volo appena caricata l'immagine. Non devo aver salvato e applicato. corretto.
Ipconfig /all mi confrma che come dns c'è solo 192.168.5.1 (ip locale pfsense) e anche nslookup mi da lo stesso risultato.
Nel campo service /dhcp non ci sono server dns impostati:

alt text
Un paio di cosette:
1)Adesso in questo modo pfsense fa da resolver di sicuro, ma utilizza anche la sua cache per velocizzare le query provenienti dai devices della rete?
2) vorrei fare delle prove dal notebook collegato alla rete interna di pfsense. Come faccio ad essere sicuro che le query siano reindirizzate a pfsense, anche se un utente cambia manualmente le impostazioni dns del suo pc o usa qualche altro trucchetto? Ci sono log?
Grazie

kiokoman

si in teoria è cosi

guardando l'ultima foto delle regole del firewall la terza regola che hai messo blocca tutti i tentativi di usare dns diversi da pfsense, non c'e' modo che venga usato qualcos'altro. se su quella regola imposti che venga loggato il blocco lo vedi poi sul log del firewall.

senseiluke

@kiokoman said in Problema con regole firewall per il DNS:

si in teoria è cosi

guardando l'ultima foto delle regole del firewall la terza regola che hai messo blocca tutti i tentativi di usare dns diversi da pfsense, non c'e' modo che venga usato qualcos'altro. se su quella regola imposti che venga loggato il blocco lo vedi poi sul log del firewall.

Una precisazione qui per cortesia.
Viene bloccato e non può navigare se usa DNS diversi, oppure viene reindirizzato senza accorgersene?
Grazie

kiokoman

viene bloccato e non naviga

Fumetto

...per "reindirizzato senza accorgersene" vedi qui.