Блокируется пересылка запросов DNS
-
Есть одна маленькая сеть. В ней 2 контроллера домена с установленными службами DNS. Клиентам выдаются адреса этих двух КД как основные DNS сервера. На самом pfsense dns ресолвинг и форвардер отключены. При формировании сети обоим КД правилами фаервола был дан полный доступ в интернет. Позже, чтобы клиенты не делали запросы в обход основных dns серверов было создано правило, поставленное выше разрешающего, и в котором было указано - блокировать запросы от всех кроме КД, если они идут на порт 53. На клиентах проверял, запросы на другие сервера не проходят. Теперь решил отключить полный доступ в интернет для этих двух КД. Но после того как я убираю полный доступ, DNS запросы по внешним зонам не отрабатываются. На КД настроена пересылка запросов на провайдерские и корневые сервера.
Разве ещё какой-то порт необходим,кроме 53, для разрешения имён? Или у меня что-то с правилами?
-
@ultra Здр
Логика такова , что нужно второе правило , которое разрешает DNS запросы от dns_lan_ serversТ е я лично вижу 2 алгоритма решения этой проблемы
Вариант 1
1 правило разрешает 53 порт dns для dns_lan_servers
2 правило запрещает 53 порт для всех остальных
3 блокируем все для dns_lan_serversВариант 2
1 запрещаем 53 порт для всех хостов не из группы dns_lan_servers (ваш вариант)
2 разрешаем 53 порт для всех остальных
3 блокируем все для dns_lan_servers -
Добрый
В этом случае ничего ЯВНО запрещать не надо. Хватит ОДНОГО разрешающего правила для DC
-
@werter
Не понял почему не надо? Если правила нету,то клиенты смогут ресолвить адреса, используя тот же nslookup, к примеру чтобы потом ходить по ip. -
@ultra Немного откорректировал свое видение решения проблемы
решение написано с учетом того, что не виден весь список правил , а только кусок -
@ultra said in Блокируется пересылка запросов DNS:
@werter
Не понял почему не надо? Если правила нету,то клиенты смогут ресолвить адреса, используя тот же nslookup, к примеру чтобы потом ходить по ip.Правило пф: все что не разрешено ЯВНО - запрещено.
-
@werter По-моему , на lan интерфейсе это не так
-
@ultra
В ЛС.