Problema con regole firewall per il DNS
-
dns resolver manda le richieste direttamente ai dns root servers.
-
@kiokoman said in Problema con regole firewall per il DNS:
dns resolver manda le richieste direttamente ai dns root servers.
Ok, qualche domanda se non ti dispiace.
Mi stai dicendo quindi che non è necessario l'IP 1.1.1.1 (e lo devo cancellare) se ho abilitato DNS resolver? Ma come fa il DNS resolver a conoscere già gli indirizzi dei dns root a cui inoltrare le richieste?
E nel caso fosse abilitato solo il DNS forwarded sarebbe necessario un IP tipo 1.1.1.1? Scusa ma mi piacerebbe pure capire cosa faccio.
Visto che stiamo a casa bloccati ora ho più tempo per approfondire questi argomenti anche se per me è solo un hobby.Non mi hai detto poi se la sesta regola in firewall rules la devo cancellare e se devo cancellare pure la seconda regola NAT (la redirect per intenderci)
Grazie tante
-
si se usi dns resolver senza il forwarder abilitato 1.1.1.1 non serve e puoi cancellarlo, dns resolver ha una sua lista interna di server root a cui chiedere.
se fosse abilitato il forwarder ti servirebbero almeno 2 dns giusto nel caso il primo per qualche motivo non fosse raggiungibile
beh in realtà ti avevo già detto che la sesta regola va cancellata
https://forum.netgate.com/post/896333si va cancellata anche la seconda in NAT
-
@kiokoman said in Problema con regole firewall per il DNS:
si se usi dns resolver senza il forwarder abilitato 1.1.1.1 non serve e puoi cancellarlo, dns resolver ha una sua lista interna di server root a cui chiedere.
se fosse abilitato il forwarder ti servirebbero almeno 2 dns giusto nel caso il primo per qualche motivo non fosse raggiungibile
beh in realtà ti avevo già detto che la sesta regola va cancellata
https://forum.netgate.com/post/896333si va cancellata anche la seconda in NAT
Ok, quindi il resolver non ne ha bisogno e mi hai detto anche il perché. Grazie. Sono queste le informazioni che mi interessano avere. Non voglio solo agire tipo "clickka questo, disattiva quello" :-)
La mai situazione aggiornata è questa:
Quindi ho cancellato pure 1.1.1.1 come server dns.
MA c'è un problema.
Il notebook collegato alla LAN di pfsense non naviga.
Ho fatto una prova con il tool ping di pfsense e non mi risolve
gli indirizzi google. com etc, no problem inserendo invece in hostname direttamente gli IP.
Cosa devo verificare? C'è qualche opzione non abilitata per il resolver?Queste le impostazioni in DNS resolver:
Grazie -
hai abilitato forwarding mode ! avevi detto di averlo disabilitato.. devi disabilitare Enable Forwarding mode
sul pc apri prompt dei comandi e dai
ipconfig /allcome server dns ti deve dare solo l'ip del pfsense se ne hai altri devi verificare che sotto services / dhcp server nel campo dns ci sia solo l'ip del pfsense
-
@kiokoman said in Problema con regole firewall per il DNS:
hai abilitato forwarding mode ! avevi detto di averlo disabilitato.. devi disabilitare Enable Forwarding mode
sul pc apri prompt dei comandi e dai
ipconfig /allcome server dns ti deve dare solo l'ip del pfsense se ne hai altri devi verificare che sotto services / dhcp server nel campo dns ci sia solo l'ip del pfsense
Si si infatti, pensavo di averlo fatto. Me ne sono accorto pure io al volo appena caricata l'immagine. Non devo aver salvato e applicato. corretto.
Ipconfig /all mi confrma che come dns c'è solo 192.168.5.1 (ip locale pfsense) e anche nslookup mi da lo stesso risultato.
Nel campo service /dhcp non ci sono server dns impostati:
Un paio di cosette:
1)Adesso in questo modo pfsense fa da resolver di sicuro, ma utilizza anche la sua cache per velocizzare le query provenienti dai devices della rete?
2) vorrei fare delle prove dal notebook collegato alla rete interna di pfsense. Come faccio ad essere sicuro che le query siano reindirizzate a pfsense, anche se un utente cambia manualmente le impostazioni dns del suo pc o usa qualche altro trucchetto? Ci sono log?
Grazie -
si in teoria è cosi
guardando l'ultima foto delle regole del firewall la terza regola che hai messo blocca tutti i tentativi di usare dns diversi da pfsense, non c'e' modo che venga usato qualcos'altro. se su quella regola imposti che venga loggato il blocco lo vedi poi sul log del firewall.
-
@kiokoman said in Problema con regole firewall per il DNS:
si in teoria è cosi
guardando l'ultima foto delle regole del firewall la terza regola che hai messo blocca tutti i tentativi di usare dns diversi da pfsense, non c'e' modo che venga usato qualcos'altro. se su quella regola imposti che venga loggato il blocco lo vedi poi sul log del firewall.
Una precisazione qui per cortesia.
Viene bloccato e non può navigare se usa DNS diversi, oppure viene reindirizzato senza accorgersene?
Grazie -
viene bloccato e non naviga
̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
Please do not use chat/PM to ask for help
we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
Don't forget to Upvote with the 👍 button for any post you find to be helpful. -
...per "reindirizzato senza accorgersene" vedi qui.
-
@kiokoman said in Problema con regole firewall per il DNS:
viene bloccato e non naviga
infatti è così. Il log del firewall lo porta chiaramente, oltre al fatto ovviamente che dal notebook collegato non navigo.
Però non volevo proprio questo. Mi sa che la redirect è indispensabile.
Faccio delle prove.
Grazie -
@Fumetto said in Problema con regole firewall per il DNS:
...per "reindirizzato senza accorgersene" vedi qui.
Si lo so. L'avevo pure settata.
Grazie -
Ok, ho fatto delle prove.
Se aggiungo la regola NAT del redirect, pare che il firewall lasci passare le richieste al server dns esterno senza reindirizzarle o bloccarle.
La disabilito e le richieste vengono bloccate (e non naviga) se sul notebook collegato alla lan di pfsense sono stati impostati DNS a server esterni.
Pare quindi che la regola NAT non faccia proprio il suo dovere o deve essere modificata. Magari mi sfugge qualcosa.
Grazie
