Блокируется пересылка запросов DNS



  • Есть одна маленькая сеть. В ней 2 контроллера домена с установленными службами DNS. Клиентам выдаются адреса этих двух КД как основные DNS сервера. На самом pfsense dns ресолвинг и форвардер отключены. При формировании сети обоим КД правилами фаервола был дан полный доступ в интернет. Позже, чтобы клиенты не делали запросы в обход основных dns серверов было создано правило, поставленное выше разрешающего, и в котором было указано - блокировать запросы от всех кроме КД, если они идут на порт 53. На клиентах проверял, запросы на другие сервера не проходят. Теперь решил отключить полный доступ в интернет для этих двух КД. Но после того как я убираю полный доступ, DNS запросы по внешним зонам не отрабатываются. На КД настроена пересылка запросов на провайдерские и корневые сервера.
    Разве ещё какой-то порт необходим,кроме 53, для разрешения имён? Или у меня что-то с правилами?
    Screenshot-2019-7-2 pfSense artem mfartem com ua - Firewall Rules LAN.png



  • @ultra Здр
    Логика такова , что нужно второе правило , которое разрешает DNS запросы от dns_lan_ servers

    Т е я лично вижу 2 алгоритма решения этой проблемы
    Вариант 1
    1 правило разрешает 53 порт dns для dns_lan_servers
    2 правило запрещает 53 порт для всех остальных
    3 блокируем все для dns_lan_servers

    Вариант 2
    1 запрещаем 53 порт для всех хостов не из группы dns_lan_servers (ваш вариант)
    2 разрешаем 53 порт для всех остальных
    3 блокируем все для dns_lan_servers



  • Добрый

    В этом случае ничего ЯВНО запрещать не надо. Хватит ОДНОГО разрешающего правила для DC



  • @werter
    Не понял почему не надо? Если правила нету,то клиенты смогут ресолвить адреса, используя тот же nslookup, к примеру чтобы потом ходить по ip.



  • @ultra Немного откорректировал свое видение решения проблемы
    решение написано с учетом того, что не виден весь список правил , а только кусок



  • @ultra said in Блокируется пересылка запросов DNS:

    @werter
    Не понял почему не надо? Если правила нету,то клиенты смогут ресолвить адреса, используя тот же nslookup, к примеру чтобы потом ходить по ip.

    Правило пф: все что не разрешено ЯВНО - запрещено.



  • @werter По-моему , на lan интерфейсе это не так



  • @ultra
    В ЛС.


Log in to reply