Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problema con regole firewall per il DNS

    Scheduled Pinned Locked Moved Italiano
    24 Posts 3 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • kiokomanK
      kiokoman LAYER 8
      last edited by

      dns resolver manda le richieste direttamente ai dns root servers.

      ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
      Please do not use chat/PM to ask for help
      we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
      Don't forget to Upvote with the 👍 button for any post you find to be helpful.

      senseilukeS 1 Reply Last reply Reply Quote 0
      • senseilukeS
        senseiluke @kiokoman
        last edited by senseiluke

        @kiokoman said in Problema con regole firewall per il DNS:

        dns resolver manda le richieste direttamente ai dns root servers.

        Ok, qualche domanda se non ti dispiace.

        Mi stai dicendo quindi che non è necessario l'IP 1.1.1.1 (e lo devo cancellare) se ho abilitato DNS resolver? Ma come fa il DNS resolver a conoscere già gli indirizzi dei dns root a cui inoltrare le richieste?

        E nel caso fosse abilitato solo il DNS forwarded sarebbe necessario un IP tipo 1.1.1.1? Scusa ma mi piacerebbe pure capire cosa faccio.
        Visto che stiamo a casa bloccati ora ho più tempo per approfondire questi argomenti anche se per me è solo un hobby.

        Non mi hai detto poi se la sesta regola in firewall rules la devo cancellare e se devo cancellare pure la seconda regola NAT (la redirect per intenderci)

        Grazie tante

        1 Reply Last reply Reply Quote 0
        • kiokomanK
          kiokoman LAYER 8
          last edited by

          si se usi dns resolver senza il forwarder abilitato 1.1.1.1 non serve e puoi cancellarlo, dns resolver ha una sua lista interna di server root a cui chiedere.

          se fosse abilitato il forwarder ti servirebbero almeno 2 dns giusto nel caso il primo per qualche motivo non fosse raggiungibile

          beh in realtà ti avevo già detto che la sesta regola va cancellata
          https://forum.netgate.com/post/896333

          si va cancellata anche la seconda in NAT

          ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
          Please do not use chat/PM to ask for help
          we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
          Don't forget to Upvote with the 👍 button for any post you find to be helpful.

          senseilukeS 1 Reply Last reply Reply Quote 0
          • senseilukeS
            senseiluke @kiokoman
            last edited by senseiluke

            @kiokoman said in Problema con regole firewall per il DNS:

            si se usi dns resolver senza il forwarder abilitato 1.1.1.1 non serve e puoi cancellarlo, dns resolver ha una sua lista interna di server root a cui chiedere.

            se fosse abilitato il forwarder ti servirebbero almeno 2 dns giusto nel caso il primo per qualche motivo non fosse raggiungibile

            beh in realtà ti avevo già detto che la sesta regola va cancellata
            https://forum.netgate.com/post/896333

            si va cancellata anche la seconda in NAT

            Ok, quindi il resolver non ne ha bisogno e mi hai detto anche il perché. Grazie. Sono queste le informazioni che mi interessano avere. Non voglio solo agire tipo "clickka questo, disattiva quello" :-)

            La mai situazione aggiornata è questa:

            alt text

            alt text

            alt text

            Quindi ho cancellato pure 1.1.1.1 come server dns.

            MA c'è un problema.

            Il notebook collegato alla LAN di pfsense non naviga.

            Ho fatto una prova con il tool ping di pfsense e non mi risolve
            gli indirizzi google. com etc, no problem inserendo invece in hostname direttamente gli IP.
            Cosa devo verificare? C'è qualche opzione non abilitata per il resolver?

            Queste le impostazioni in DNS resolver:

            alt text
            Grazie

            1 Reply Last reply Reply Quote 0
            • kiokomanK
              kiokoman LAYER 8
              last edited by

              hai abilitato forwarding mode ! avevi detto di averlo disabilitato.. devi disabilitare Enable Forwarding mode

              sul pc apri prompt dei comandi e dai

              ipconfig /all
              

              come server dns ti deve dare solo l'ip del pfsense se ne hai altri devi verificare che sotto services / dhcp server nel campo dns ci sia solo l'ip del pfsense

              ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
              Please do not use chat/PM to ask for help
              we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
              Don't forget to Upvote with the 👍 button for any post you find to be helpful.

              senseilukeS 1 Reply Last reply Reply Quote 0
              • senseilukeS
                senseiluke @kiokoman
                last edited by senseiluke

                @kiokoman said in Problema con regole firewall per il DNS:

                hai abilitato forwarding mode ! avevi detto di averlo disabilitato.. devi disabilitare Enable Forwarding mode

                sul pc apri prompt dei comandi e dai

                ipconfig /all
                

                come server dns ti deve dare solo l'ip del pfsense se ne hai altri devi verificare che sotto services / dhcp server nel campo dns ci sia solo l'ip del pfsense

                Si si infatti, pensavo di averlo fatto. Me ne sono accorto pure io al volo appena caricata l'immagine. Non devo aver salvato e applicato. corretto.
                Ipconfig /all mi confrma che come dns c'è solo 192.168.5.1 (ip locale pfsense) e anche nslookup mi da lo stesso risultato.
                Nel campo service /dhcp non ci sono server dns impostati:

                alt text
                Un paio di cosette:
                1)Adesso in questo modo pfsense fa da resolver di sicuro, ma utilizza anche la sua cache per velocizzare le query provenienti dai devices della rete?
                2) vorrei fare delle prove dal notebook collegato alla rete interna di pfsense. Come faccio ad essere sicuro che le query siano reindirizzate a pfsense, anche se un utente cambia manualmente le impostazioni dns del suo pc o usa qualche altro trucchetto? Ci sono log?
                Grazie

                1 Reply Last reply Reply Quote 0
                • kiokomanK
                  kiokoman LAYER 8
                  last edited by kiokoman

                  si in teoria è cosi

                  guardando l'ultima foto delle regole del firewall la terza regola che hai messo blocca tutti i tentativi di usare dns diversi da pfsense, non c'e' modo che venga usato qualcos'altro. se su quella regola imposti che venga loggato il blocco lo vedi poi sul log del firewall.

                  ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                  Please do not use chat/PM to ask for help
                  we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                  Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                  senseilukeS 1 Reply Last reply Reply Quote 0
                  • senseilukeS
                    senseiluke @kiokoman
                    last edited by

                    @kiokoman said in Problema con regole firewall per il DNS:

                    si in teoria è cosi

                    guardando l'ultima foto delle regole del firewall la terza regola che hai messo blocca tutti i tentativi di usare dns diversi da pfsense, non c'e' modo che venga usato qualcos'altro. se su quella regola imposti che venga loggato il blocco lo vedi poi sul log del firewall.

                    Una precisazione qui per cortesia.
                    Viene bloccato e non può navigare se usa DNS diversi, oppure viene reindirizzato senza accorgersene?
                    Grazie

                    1 Reply Last reply Reply Quote 0
                    • kiokomanK
                      kiokoman LAYER 8
                      last edited by

                      viene bloccato e non naviga

                      ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                      Please do not use chat/PM to ask for help
                      we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                      Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                      senseilukeS 1 Reply Last reply Reply Quote 0
                      • F
                        Fumetto
                        last edited by

                        ...per "reindirizzato senza accorgersene" vedi qui.

                        senseilukeS 1 Reply Last reply Reply Quote 0
                        • senseilukeS
                          senseiluke @kiokoman
                          last edited by

                          @kiokoman said in Problema con regole firewall per il DNS:

                          viene bloccato e non naviga

                          infatti è così. Il log del firewall lo porta chiaramente, oltre al fatto ovviamente che dal notebook collegato non navigo.
                          Però non volevo proprio questo. Mi sa che la redirect è indispensabile.
                          Faccio delle prove.
                          Grazie

                          1 Reply Last reply Reply Quote 0
                          • senseilukeS
                            senseiluke @Fumetto
                            last edited by senseiluke

                            @Fumetto said in Problema con regole firewall per il DNS:

                            ...per "reindirizzato senza accorgersene" vedi qui.

                            Si lo so. L'avevo pure settata.
                            Grazie

                            1 Reply Last reply Reply Quote 0
                            • senseilukeS
                              senseiluke
                              last edited by senseiluke

                              Ok, ho fatto delle prove.
                              Se aggiungo la regola NAT del redirect, pare che il firewall lasci passare le richieste al server dns esterno senza reindirizzarle o bloccarle.
                              La disabilito e le richieste vengono bloccate (e non naviga) se sul notebook collegato alla lan di pfsense sono stati impostati DNS a server esterni.
                              Pare quindi che la regola NAT non faccia proprio il suo dovere o deve essere modificata. Magari mi sfugge qualcosa.
                              Grazie

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.