PfBlocker и днс контроллера домена



  • Здравствуйте! Никак не могу решить данную проблему. Есть контроллер домена с ip 10.104.160.3. По инструкции настроил pfblocker на pfsense, ip 10.104.160.1.
    Когда на тестовом клиенте ставлю днс pfsense-все отрабатывает как надо. Но меня это не устраивает, так как таким образом я не могу работать с контроллером домена. Когда ставлю днс контроллера домена-ничего не работает. Долго гуглил, понял, что надо сделать настройки в контроллере домена в части DNS.
    Работал по этой статье https://vorkbaard.nl/protect-your-network-with-domain-filtering-on-pfsense-2-4-and-pfblockerng/, не получается. Выдает ошибку в первом же скриншоте, "unable to resolve". По этой статье http://www.askit.ru/custom/ad/m2/lab02_01_dns_for_ad.htm пытался настроить зону обратного просмотра, результат не дает.
    Прошу Вашей помощи в решении этой проблемы.



  • Добрый
    @Vladimir88

    Я бы решал так:

    1. В кач-ве ДНС по DHCP выдавал бы клиентам 1-ым - адрес DC, 2-ым - адрес пф.
    2. Завернул бы все ДНС-запросы из ЛАН на адрес пф.

    Тем самым все что идет вовне на 53-й порт и от простых клиентов и от ДС будет проходит через пфблокер.

    Зы. С приходом DoH все стало "не так однозначно"

    Зы2. Оч. надеюсь, что у вас есть не только ADC, но и BDC (и RODC). Иначе - попаболь (



  • @werter я и слов таких не знаю((.
    Базовая статья по настройке вот https://www.tecmint.com/install-configure-pfblockerng-dns-black-listing-in-pfsense/
    Получилось сделать вот так:

    1. в настройках dhcp клиентам выдаёт айпи контроллера домена в качестве основного и единственного днс сервера. В настройках пфсенсе поднастроил днс резолвер, цитата:
      When the page reloads, the DNS resolver general settings will be configurable. This first option that needs to be configured is the checkbox for ‘Enable DNS Resolver’.

    The next settings are to set the DNS listening port (normally port 53), setting the network interfaces that the DNS resolver should listen on (in this configuration, it should be the LAN port and Localhost), and then setting the egress port (should be WAN in this configuration).
    2. Во вкладке system-general setup выставил dns server мой контроллер домена
    3.на контроллере домена в dns manager выделил мой сервер и выбрал пункт forwarders. Там попытался добавить мой сервер pfsense, по айпи добавился, но по server fqdn выдаёт ошибку unable to resolve. Думаю, что это проблема.
    4. Зашёл в revers lookup zones, добавил свою локальную сеть 10.104.160. Тут хотя бы статус рунинг.
    В общем стало как то работать, но я не уверен в правильности настроек. Подскажите, если где иначе надо.



  • Добрый
    @Vladimir88

    Вариант 2:
    vorkbaard.nl/protect-your-network-with-domain-filtering-on-pfsense-2-4-and-pfblockerng/

    В самом начале:
    2019-12-12 17_36_55.png

    Т.е. раздаете по dhcp только ip DC в кач-ве ДНС. И на DC указываете в кач-ве единственного Forwader-а только FQDN пфсенс-а (как на картинке выше). Создание A-записи для пф в ДНС строго обязательно!

    Однако, предыдущий вариант с форвардингом всех ДНС-запросов на ЛАН ip пф все же универсальнее )


Log in to reply