Redireccionar Puerto 53 UDP (DNS)



  • Que tal amigos.

    Con la idea de hacer filtrado de contenido para algunos usuarios seleccionados de la red he pensado en pasarlos por el filtro de openDNS para poder seleccionar algunas categorias que no queremos que vean estos usuarios.

    He visto que se puede hacer con otros sistemas, redireccionando todas las peticiones de DNS de estos usuarios de la lista (no importando que DNS tengan configurados) a los servidores DNS de openDNS para poder filtrarlos.  Unicamente que no tengo idea de como hacer el "redirect" ya que cuando se hace el proxy de HTTP, el sistema inserta la regla directamente en la configuracion.

    Ojala alguno tenga alguna idea .

    Saludos



  • Google pfsense opendns

    Básicamente es asegurarse que los usuarios no puedan salir a internet por TCP/UDP 53, que usen pfSense como DNS y este emplee OpenDNS.



  • no debias solo bloquear el puerto 53 udp/tcp hacia afuera o bien hacerle un nat a la lan para que solo use al pfsense como dns y el resto lo bloquee ya en la wan haces que el pfsense use los dns de opendns


  • Rebel Alliance

    @dementekuatiko:

    no debias solo bloquear el puerto 53 udp/tcp hacia afuera

    o bien hacerle un nat a la lan para que solo use al pfsense como dns y el resto lo bloquee

    ya en la wan haces que el pfsense use los dns de opendns

    NAT a la LAN ?

    Con activar el "DNS Forwarder" y crear una regla en LAN (o la interface que esté utilizando para los clientes) que Bloquea TCP/UDP :53 que NO vaya a la direccion de la interface (en este caso ! LAN Address), tiene solucionado el tema del uso de DNS`s externos, y se asegura de que Solo se utilicen los DNS configurados en el pfSense.

    Saludos

    ![Bloquea DNS.PNG](/public/imported_attachments/1/Bloquea DNS.PNG)
    ![Bloquea DNS.PNG_thumb](/public/imported_attachments/1/Bloquea DNS.PNG_thumb)



  • La solución de bloqueo sirve pero quisiera recordar que si no hay regla que permita determinado tráfico no hace falta el bloqueo. Lo que no está en reglas de LAN está bloqueado.

    Por ejemplo, con una sola regla en LAN que permita salir por TCP 80 y TCP 443 se podrá navegar si los equipos toman como DNS a pfSense (que es lo que pasa cuando se activa el DHCP y no se indica otro DNS).

    Saludos,

    Josep Pujadas-Jubany


Locked