Que regla poner en la wan para desechar consultas dns a otros dominios



  • hola a todos, estoy intentando crear una regla que deseche las consultas dns que no sean a mi dominio en la wan.

    supongamos que tenemos instalado como firewall de internet pfsense 2.3.2, con bind como dns (configurado para dnssec, haciendo resolver para direcciones internas solamente), en ese bind estan publicados los registros del dominio y mx de la empresa.
    sólo hay una wan y una lan y se hace nat para que entre el correo por el puerto regular, asi como regla en la wan para dejar entrar consultas dns y el trafico de correo.
    y por ultimo snort y ntopng, uno para bloquear a los malos y el otro para monitorear el uso de ancho de banda y conexiones.

    pero quiero crearle ademas una regla que rechaze las consultas a otros dominios
    si digo en la regla que destination es mi ip no me sirve porque claro que vienen a consultar el ip para saber sobre otro dominio que no es el mio,
    tampoco puedo poner el dominio como alias porque no funciona asi en la gui de pfsense, simplemente no lo guarda ;es algo que tiene que ver con descargar algo de la url que uno pone, pero como no es una url sino un nombre de dominio no me deja.

    entonces…. hay alguna forma de lograr bloquear estas consultas?????????

    gracias de antemano,
    si lo logro les digo



  • la solucion es cofigurar el dns que tienes publicado a internet como un  Authoritative-only Name Server, es decir que no haga recursion y solo responda a tu dominio.
    que otros sevidores pregunten por dominios que no son administrados por ti es un error de configuracion y te puede llevar a ataques de DDOS
    asi que mucho ojo al configurar un servidor publico.


Log in to reply