Активация Microsoft и файрволл PFSense
-
@konstanti понял, принял. Спасибо большое.
-
@konstanti
У вас ПРИНУДИТЕЛЬНО все днс-запросы завернуты на пф?
Если это сделать, то локальные клиенты будут получать только те ip, к-ые имеет пф в своем днс-кеше.
И несоответствия с ip не будет, т.к. всеми днс-запросами рулит пф. Чтобы там у клиента в настройках ДНС не стояло.
Я таким образом блокировал youtube, у к-го тоже далеко не один ip. -
@werter
Это тоже вариант решения проблемы ТС ( на уровне блокировок DNS запросов )
А если задача стоит в направлении трафика через разные шлюзы с одного устройства ? Например , для "обмана" своей геопозиции для стриминговых сервисов .
Собственно , эту проблему я и решал
Вот как это выглядит на практике
Трафик Netflix идет через WAN интерфейс ( российский IP)
А вот трафик Disney+ идет через VPN ( испанский ip)
При этом весь объем трафика генерит одно устройство (Apple TV) .
-
@konstanti ну у меня как пишет камрад weter. Весь трафик dns от клиентов резолвится на pf! Я это указал. И не работает.
-
@sirota
Werter предлагает осуществлять блокировки на уровне Dns запросов , а не на уровне ip-адресов.
В Вашем случае это может сработать. -
@konstanti какие блокировки? Он говорит что если dns принудительно заворачивются на pf, то проблем быть не должно. Мы с ним по этому поводу уже общались. Весь dns трафик принудительно заворачивются на pf у меня. И проблема по факту только с активацией Microsoft.
-
@sirota
По-моему , для таких блокировок используется пакет pfBlockerNG (DNSBL) в связке с DNS Resolver-ом PF.Проблемы будут , по причинам описанным мною чуть выше. Так как серверов много , то для уменьшения нагрузки на них вышестоящие DNS сервера дают разные ответы на одни и те же DNS запросы ( Round-Robin , скорее всего)
-
@konstanti да не нужны мне блокировки. Мне надо разрешить этот трафик!
-
@sirota
Я прекрасно понимаю , что Вам нужно
Мб , сработает таким образом
Хост , которому нужно разрешить доступ , использует внешний DNS сервер , и его запросы не "заворачиваются" на PF.
Все остальные используют Unbound + pfBlockerNG (DNSBL) , и в этом случае такие запросы блокируются -
@konstanti Да чтож... Без обид, но вы читать умеете?
Я в первом коммента написал "Как видно у клиента DNS'ом является pfsense и все dns запросы из локалки резолвятся только на pf"
На всех скринах с nslookup:
server pfsense.local
address: 192.168.0.1 -
