Captive portal da farklı dns kullanan bilgisayarlarda login gelmemesi (çözüldü)



  • merhaba

    başlığı bilerek uzun tuttum. pfsense kullnmaya yeni başlayıpta bu sorunla karşılaşmayan yoktur herhalde. kullanıcı bilgisayarında dns adresini elle girmişse captive portalın login ekranı gelmiyor. bunu aşmak için herhangi bir yol yok mu? firewall nat ayarlarından herhangi bir şey yapamaz mıyız? ticari utm cihazlar bu sorunu nasıl aşmışlar? bilen var mı?

    herkese kolay gele…



  • captive portal settings sayfasında allowed ip addresses var oraya dnsleri tek tek girmen lazım.

    direction lari da both olmalı.

    örnek benim bildiğim dnsler

    
    any  8.8.8.8	 dns1 	  
    any  156.154.70.1	 dns27 	  
    any  156.154.71.1	 dns26 	  
    any  195.175.39.39	 dns25 	  
    any  198.153.192.1	 dns24 	  
    any  198.153.194.1	 dns23 	  
    any  199.5.157.131	 dns22 	  
    any  207.225.209.66	 dns21 	  
    any  208.67.222.220	 dns20 	  
    any  208.67.222.222	 dns19 	  
    any  208.71.35.137	 dns18 	  
    any  209.244.0.3	 dns17 	  
    any  209.244.0.4	 dns16 	  
    any  216.87.84.211	 dns15 	  
    any  4.2.2.1	 dns14 	  
    any  4.2.2.2	 dns13 	  
    any  4.2.2.3	 dns12 	  
    any  4.2.2.4	 dns11 	  
    any  4.2.2.5	 dns10 	  
    any  4.2.2.6	 dns9 	  
    any  67.138.54.100	 dns8 	  
    any  69.164.208.50	 dns7 	  
    any  74.118.212.1	 dns6 	  
    any  74.118.212.2	 dns5 	  
    any  8.20.247.20	 dns4 	  
    any  8.26.56.26	 dns3 	  
    any  8.8.4.4	 dns2 	  
    
    


  • Selam,

    Yukarıdaki dns sunucuları en fazla kullanılanlardan oluşmakta. Buna ek olarak firewall loglarını kontrol ederseniz bunların haricinde DNS sunucularına istek oluyor mu diye onları da tespit edip listeye dahil ederseniz sorununuz büyük bir oranda çözülmüş olur.

    Sevgilerle,
    SGTR



  • @SGTR:

    Selam,

    Yukarıdaki dns sunucuları en fazla kullanılanlardan oluşmakta. Buna ek olarak firewall loglarını kontrol ederseniz bunların haricinde DNS sunucularına istek oluyor mu diye onları da tespit edip listeye dahil ederseniz sorununuz büyük bir oranda çözülmüş olur.

    Sevgilerle,
    SGTR

    cehalet kötü şey. firewall loglarında nasıl tespit edeceğim harici dns sunucularını?



  • peki bu bir çözüm olabilir mi?

    http://doc.pfsense.org/index.php/Creating_a_DNS_Black_Hole_for_Captive_Portal_Clients

    veya 53 nolu portu tamamen açsak?



  • @asbirim:

    captive portal settings sayfasında allowed ip addresses var oraya dnsleri tek tek girmen lazım.

    direction lari da both olmalı.

    örnek benim bildiğim dnsler

    
    any  8.8.8.8	 dns1 	  
    any  156.154.70.1	 dns27 	  
    any  156.154.71.1	 dns26 	  
    any  195.175.39.39	 dns25 	  
    any  198.153.192.1	 dns24 	  
    any  198.153.194.1	 dns23 	  
    any  199.5.157.131	 dns22 	  
    any  207.225.209.66	 dns21 	  
    any  208.67.222.220	 dns20 	  
    any  208.67.222.222	 dns19 	  
    any  208.71.35.137	 dns18 	  
    any  209.244.0.3	 dns17 	  
    any  209.244.0.4	 dns16 	  
    any  216.87.84.211	 dns15 	  
    any  4.2.2.1	 dns14 	  
    any  4.2.2.2	 dns13 	  
    any  4.2.2.3	 dns12 	  
    any  4.2.2.4	 dns11 	  
    any  4.2.2.5	 dns10 	  
    any  4.2.2.6	 dns9 	  
    any  67.138.54.100	 dns8 	  
    any  69.164.208.50	 dns7 	  
    any  74.118.212.1	 dns6 	  
    any  74.118.212.2	 dns5 	  
    any  8.20.247.20	 dns4 	  
    any  8.26.56.26	 dns3 	  
    any  8.8.4.4	 dns2 	  
    
    

    henüz deneme fırsatım olmadı. aklıma şöyle bir şey geldi. merakımdan dillendirdim. madem dns lerin ip adreslerine captive portaldan izin verince login ekranı illaki karşımıza çıkıyorsa (dns olarak pf kullanmayan bilgisayarlarda bile) neden 53 nolu portu açmıyoruz?



  • elbette açabilirsin. ama arayüzden normal kural şekline olmaz malesef.

    shellcmd paketini yükleyip ipfw kuralları ekleyeceksin.

    örnek
    ipfw add allow udp from any to any dst-port 53 keep-state
    ipfw add allow tcp from any to any dst-port 53 keep-state

    not: gibi test edilmedi!



  • @asbirim:

    elbette açabilirsin. ama arayüzden normal kural şekline olmaz malesef.

    shellcmd paketini yükleyip ipfw kuralları ekleyeceksin.

    örnek
    ipfw add allow udp from any to any dst-port 53 keep-state
    ipfw add allow tcp from any to any dst-port 53 keep-state

    not: gibi test edilmedi!

    şimd bunu uyguladığımda; farklı dns adresleri kullanan bilgisayarlarda da captive portal işe yarayacak mı? login ekranı sorunsuzca karşımıza gelecek mi? uygulama fırsatım şuan olmadığı için soruyorum. uygulayınca sonucu paylaşıcam.



  • @asbirim:

    elbette açabilirsin. ama arayüzden normal kural şekline olmaz malesef.

    shellcmd paketini yükleyip ipfw kuralları ekleyeceksin.

    örnek
    ipfw add allow udp from any to any dst-port 53 keep-state
    ipfw add allow tcp from any to any dst-port 53 keep-state

    not: gibi test edilmedi!

    bu şekilde olmadı. bende şöyle denedim oldu. ((-;<

    ipfw add 65000 allow udp from any to any dst-port 53 keep-state
    ipfw add allow 65001 tcp from any to any dst-port 53 keep-state
    

    şimdi shellcmd yi ayarlıyacağım. type olarak shellcmd yeterli değil mi?
    teşekkürler asbirim.



  • @asbirim:

    captive portal settings sayfasında allowed ip addresses var oraya dnsleri tek tek girmen lazım.

    direction lari da both olmalı.

    örnek benim bildiğim dnsler

    
    any  8.8.8.8	 dns1 	  
    any  156.154.70.1	 dns27 	  
    any  156.154.71.1	 dns26 	  
    any  195.175.39.39	 dns25 	  
    any  198.153.192.1	 dns24 	  
    any  198.153.194.1	 dns23 	  
    any  199.5.157.131	 dns22 	  
    any  207.225.209.66	 dns21 	  
    any  208.67.222.220	 dns20 	  
    any  208.67.222.222	 dns19 	  
    any  208.71.35.137	 dns18 	  
    any  209.244.0.3	 dns17 	  
    any  209.244.0.4	 dns16 	  
    any  216.87.84.211	 dns15 	  
    any  4.2.2.1	 dns14 	  
    any  4.2.2.2	 dns13 	  
    any  4.2.2.3	 dns12 	  
    any  4.2.2.4	 dns11 	  
    any  4.2.2.5	 dns10 	  
    any  4.2.2.6	 dns9 	  
    any  67.138.54.100	 dns8 	  
    any  69.164.208.50	 dns7 	  
    any  74.118.212.1	 dns6 	  
    any  74.118.212.2	 dns5 	  
    any  8.20.247.20	 dns4 	  
    any  8.26.56.26	 dns3 	  
    any  8.8.4.4	 dns2 	  
    
    

    bunu da denedim. gayette güzel çalıştı ama sürekli bir dns avcılığı gerekiyor bunda. bir yukardaki çözüm biraz daha uygun. en azından ayarla unut.



  • @mbunal:

    bu şekilde olmadı. bende şöyle denedim oldu. ((-;<

    ipfw add 65000 allow udp from any to any dst-port 53 keep-state
    ipfw add allow 65001 tcp from any to any dst-port 53 keep-state
    

    şimdi shellcmd yi ayarlıyacağım. type olarak shellcmd yeterli değil mi?
    teşekkürler asbirim.

    bu şekilde shellcmd olunca çalışır ama her captive portal restart ettiğinde veya save ettiğinde kurallar silinir. o yüzden /etc/inc/captiveportal.inc dosyasındaki kuralların oluşturulduğu yerde eklesrsen daha garanri olur.



  • @asbirim:

    @mbunal:

    bu şekilde olmadı. bende şöyle denedim oldu. ((-;<

    ipfw add 65000 allow udp from any to any dst-port 53 keep-state
    ipfw add allow 65001 tcp from any to any dst-port 53 keep-state
    

    şimdi shellcmd yi ayarlıyacağım. type olarak shellcmd yeterli değil mi?
    teşekkürler asbirim.

    bu şekilde shellcmd olunca çalışır ama her captive portal restart ettiğinde veya save ettiğinde kurallar silinir. o yüzden /etc/inc/captiveportal.inc dosyasındaki kuralların oluşturulduğu yerde eklesrsen daha garanri olur.

    tavsiyeniz üzerine dediğiniz dosyayı inceledim. zannediyorum $cprules ile başlayan 489. satırdan evvel uygun şekilde bu komutları girmem yetecektir. ama nasıl ekleyeceğimi kestiremedim. ipfw ye biraz yabancıyım.

            $cprules  = "add 65001 allow tcp from any to any 53 keep-state\n";
            $cprules .= "add 65002 allow udp from any to any 53 keep-state\n";
            $cprules .= "add 65291 set 1 allow pfsync from any to any\n";
            $cprules .= "add 65292 set 1 allow carp from any to any\n";
    

    olarak düzenlemem doğru mudur? ipfw kural yazmışlığım yok.

    yardımların için teşekkürler asbirim.



  • 
    # redirect non-authenticated clients to captive portal
    add 65531 set 1 fwd 127.0.0.1,8000 tcp from any to any in
    
    

    bu satırın ustune ekleyebilrsiniz. ama unutmayın eklediniz kuraldan sonra kural numaralarını yeniden sıralayın.

    örnek

    
    #dns pass
    #dns pass
    add 65531 allow udp from any to any dst-port 53 keep-state
    add 65532 allow tcp from any to any dst-port 53 keep-state
    
    # redirect non-authenticated clients to captive portal
    add 65533 set 1 fwd 127.0.0.1,8000 tcp from any to any in
    # let the responses from the captive portal web server back out
    add 65534 set 1 pass tcp from any to any out
    # block everything else
    add 65535 set 1 deny all from any to any
    # pass everything else on layer2
    add 65536 set 1 pass all from any to any layer2
    
    

    gibi. bu işlemi yönlendirme kuralanın üzerinde yapmanız en az değişiklik gerektiren yöntem gibi gözüküyor.



  • @asbirim:

    
    # redirect non-authenticated clients to captive portal
    add 65531 set 1 fwd 127.0.0.1,8000 tcp from any to any in
    
    

    bu satırın ustune ekleyebilrsiniz. ama unutmayın eklediniz kuraldan sonra kural numaralarını yeniden sıralayın.

    örnek

    
    #dns pass
    #dns pass
    add 65531 allow udp from any to any dst-port 53 keep-state
    add 65532 allow tcp from any to any dst-port 53 keep-state
    
    # redirect non-authenticated clients to captive portal
    add 65533 set 1 fwd 127.0.0.1,8000 tcp from any to any in
    # let the responses from the captive portal web server back out
    add 65534 set 1 pass tcp from any to any out
    # block everything else
    add 65535 set 1 deny all from any to any
    # pass everything else on layer2
    add 65536 set 1 pass all from any to any layer2
    
    

    gibi. bu işlemi yönlendirme kuralanın üzerinde yapmanız en az değişiklik gerektiren yöntem gibi gözüküyor.

    kural numalarında daha az değişiklik yapmak için geriye doğru verdim. sonuç olarak kod:

    #dns pass
    add 65529 allow udp from any to any dst-port 53 keep-state
    add 65530 allow tcp from any to any dst-port 53 keep-state
    
    # redirect non-authenticated clients to captive portal
    add 65531 set 1 fwd 127.0.0.1,8000 tcp from any to any in
    # let the responses from the captive portal web server back out
    add 65532 set 1 pass tcp from any to any out
    # block everything else
    add 65533 set 1 deny all from any to any
    # pass everything else on layer2
    add 65534 set 1 pass all from any to any layer2
    

    oldu ve sıkı bir teste tabi tutacağım. yerinde iken yaptığım testlerden geçmişti. umarım yakında çözüldü ibaresini asarız başlığımıza.

    bu değişiklikten sonra shellcmd ile girdiğim kurallarada gerek kalmadı artık, değil mi?

    tekrar teşekkürler asbirim.



  • test sonucu başarılı olursa, bu post forumun international kısmında bile baya insanın faydasına dokunacaktır.



  • kesinlikle tuzsuzdeli kardeşim. kıt ingilizcemle ingilizce kısmını didik didik incelemiştim. ama birşey çıkaramadım. hakeza monowall forumlarında da araştırmıştım. sonra bu captive portal nedir onu araştırdım. captive portal ile alakalı sorular sordum ama aldığım cevaplar işime yaramamıştı. burda asbirim kardeşimin önerdiği dns iplerini captive portala izinli olarak girmekten bu fikir çıktı. kendi blgisayarımda yaptığım testlerden geçti ama esas kullananların sonucu önemli. ben bir kaç notebook ile deneyeceğim gene en kısa zamanda.

    ekleme: bugün 3 adet notebook ile denedim. windows 8 pro, windows 7 pro, kubuntu 13.04, kubuntu 12.10 denemelerimde başarılı oldum. 2 yukardaki eklemeyi yapınca captive portalın login sorunları büyük ölçüde ortadan kalkıyor. bence çözüldü ekleyip, sticky yapıp international foruma eklenebilir.



  • denedim. gayet başarılı çalıştı. Sabri Beye (asbirim) bu konudaki çözüm önerisi için , forum üyelerimiz adına tekrar teşekkür ediyorum



  • @asbirim:

    elbette açabilirsin. ama arayüzden normal kural şekline olmaz malesef.

    shellcmd paketini yükleyip ipfw kuralları ekleyeceksin.

    örnek
    ipfw add allow udp from any to any dst-port 53 keep-state
    ipfw add allow tcp from any to any dst-port 53 keep-state

    not: gibi test edilmedi!

    Bu şekilde tcp 53 ve udp 53 portlarına izin vermek dışarıdaki DNS sunuculara ulaşmayı muhakkak kolaylaştırır. Ancak kullanıcıların bu portlar üzerinden tüneleme yaparak kimlik doğrulama vs yapmaksızın özgürce internete çıkması mümkündür. Bu kurallar kendi elinizle captiveportalın aşılmasını sağlayacak bir delik açmak anlamına gelir… Güvenlik sizin için önemliyse bu şekilde bir firewall kuralı girmeniz iyi bir fikir olmayabilir... Dikkatli kullanmak gerekir... :)

    Saygılarımla...



  • @seker:

    Bu şekilde tcp 53 ve udp 53 portlarına izin vermek dışarıdaki DNS sunuculara ulaşmayı muhakkak kolaylaştırır. Ancak kullanıcıların bu portlar üzerinden tüneleme yaparak kimlik doğrulama vs yapmaksızın özgürce internete çıkması mümkündür. Bu kurallar kendi elinizle captiveportalın aşılmasını sağlayacak bir delik açmak anlamına gelir… Güvenlik sizin için önemliyse bu şekilde bir firewall kuralı girmeniz iyi bir fikir olmayabilir... Dikkatli kullanmak gerekir... :)

    Saygılarımla...

    muhakkak haklısın şeker kardeş. fakat bunu kullanacağım yerlerde bu çok sorun olmayacaktır. söyleyebilirmisin kendi çevrende böyle bir sistem kullanan işyerlerinde çalışan kaç kişi 53 nolu porttan tünelleme yaparak özgürce internete çıkmayı düşünecek kadar network bilgisine sahip? benim çevremde ancak sistem yönetcileri biliyor bunları. dediğim gibi kendi çevremde sorun olmayak. yoksa bunu keşfettiğimden bu yana neden böyle bir çözümü vardıda yapılmadı diye düşünüyordum. güvenlik nedeni ile olduğunu farkettim.

    bu bilgilendirmeniz için teşekkürler şeker kardeş. kullanacak olanlar bunu dikkate almalıdır. zira herkesin hitap ettği kullanıcılar farklı. belki başkasının kullanıcısı bunu değerlendirebilir.



  • @mbunal:

    @seker:

    Bu şekilde tcp 53 ve udp 53 portlarına izin vermek dışarıdaki DNS sunuculara ulaşmayı muhakkak kolaylaştırır. Ancak kullanıcıların bu portlar üzerinden tüneleme yaparak kimlik doğrulama vs yapmaksızın özgürce internete çıkması mümkündür. Bu kurallar kendi elinizle captiveportalın aşılmasını sağlayacak bir delik açmak anlamına gelir… Güvenlik sizin için önemliyse bu şekilde bir firewall kuralı girmeniz iyi bir fikir olmayabilir... Dikkatli kullanmak gerekir... :)

    Saygılarımla...

    muhakkak haklısın şeker kardeş. fakat bunu kullanacağım yerlerde bu çok sorun olmayacaktır. söyleyebilirmisin kendi çevrende böyle bir sistem kullanan işyerlerinde çalışan kaç kişi 53 nolu porttan tünelleme yaparak özgürce internete çıkmayı düşünecek kadar network bilgisine sahip? benim çevremde ancak sistem yönetcileri biliyor bunları. dediğim gibi kendi çevremde sorun olmayak. yoksa bunu keşfettiğimden bu yana neden böyle bir çözümü vardıda yapılmadı diye düşünüyordum. güvenlik nedeni ile olduğunu farkettim.

    bu bilgilendirmeniz için teşekkürler şeker kardeş. kullanacak olanlar bunu dikkate almalıdır. zira herkesin hitap ettği kullanıcılar farklı. belki başkasının kullanıcısı bunu değerlendirebilir.

    Dediğim gibi güvenlik politikanız bu noktada önemli. Eğer sorun olmayacağını düşünüyorsanız kullanmanızda bir sakınca yok. Ancak şahsi fikrimce kamuya açık bir ağda kullanacaksanız "nasılsa bunları kimse bilmiyor" diyerek riske girmeyin derim :) Tünelleme işlemleri basit şeyler ve pek çok insan tarafından artık biliniyor. Kullanıcı kitleniz öğrencilerden falan oluşuyorsa aklınıza gelmeyecek bir bir şeytanlığı deneyeceklerini tecrübe ile sabitleyebilirsiniz :)

    Ağınız kamuya açıksa, misafirlerinizin kim olduğunu ve niyetlerini bilmiyorsanız hepsinin "kötü adam" olduğunu var saymak gerekir diye düşünüyorum :)

    Saygılarımla…



  • @seker:

    Dediğim gibi güvenlik politikanız bu noktada önemli. Eğer sorun olmayacağını düşünüyorsanız kullanmanızda bir sakınca yok. Ancak şahsi fikrimce kamuya açık bir ağda kullanacaksanız "nasılsa bunları kimse bilmiyor" diyerek riske girmeyin derim :) Tünelleme işlemleri basit şeyler ve pek çok insan tarafından artık biliniyor. Kullanıcı kitleniz öğrencilerden falan oluşuyorsa aklınıza gelmeyecek bir bir şeytanlığı deneyeceklerini tecrübe ile sabitleyebilirsiniz :)

    Ağınız kamuya açıksa, misafirlerinizin kim olduğunu ve niyetlerini bilmiyorsanız hepsinin "kötü adam" olduğunu var saymak gerekir diye düşünüyorum :)

    Saygılarımla…

    pek sorması ayıp değil (ayıp olsa sormam, edepsizliğin gerek yok değil mi?) sizin bu soruna bir çözüm öneriniz var mı?



  • @mbunal:

    @seker:

    Dediğim gibi güvenlik politikanız bu noktada önemli. Eğer sorun olmayacağını düşünüyorsanız kullanmanızda bir sakınca yok. Ancak şahsi fikrimce kamuya açık bir ağda kullanacaksanız "nasılsa bunları kimse bilmiyor" diyerek riske girmeyin derim :) Tünelleme işlemleri basit şeyler ve pek çok insan tarafından artık biliniyor. Kullanıcı kitleniz öğrencilerden falan oluşuyorsa aklınıza gelmeyecek bir bir şeytanlığı deneyeceklerini tecrübe ile sabitleyebilirsiniz :)

    Ağınız kamuya açıksa, misafirlerinizin kim olduğunu ve niyetlerini bilmiyorsanız hepsinin "kötü adam" olduğunu var saymak gerekir diye düşünüyorum :)

    Saygılarımla…

    pek sorması ayıp değil (ayıp olsa sormam, edepsizliğin gerek yok değil mi?) sizin bu soruna bir çözüm öneriniz var mı?

    Eğer sizin için güvenlik, kullanılabilirlikten önemliyse çözüm kolay. Hali hazırda olduğu gibi herkes sizin DNS sunucunuzu girecek :) Nasıl ki siz servis sağlayıcının size verdiği ağ ayarları dışında keyfinize göre ayar yapamıyorsanız misafirlerinizde kullanamayacak…

    Yok misafirlerim canlarının istediği gibi kullansın diyorsanız izin verilebilir. Hem izin vereyim hem kontrol edeyim derseniz trafiğin normal dns trafiği olup olmadığını kontrol eden snort kuralları yazmak gerekir. Çok sancılı bir süreç olacaktır :)



  • @seker'e katılıyorum.
    Kendi network kullanıcılarınız için zaten "istedikleri dns sunucusunu kullanırlar" gibi bir durum sözkonusu değil.
    Dışarıdan gelenleri mutlaka başka bir interface üzerinden internete bağlamakta fayda var.
    En basitinden bir tane ethernet bir tane de kablosuz acces pointten geçer çözüm.



  • @seker:

    Eğer sizin için güvenlik, kullanılabilirlikten önemliyse çözüm kolay. Hali hazırda olduğu gibi herkes sizin DNS sunucunuzu girecek :) Nasıl ki siz servis sağlayıcının size verdiği ağ ayarları dışında keyfinize göre ayar yapamıyorsanız misafirlerinizde kullanamayacak…

    Yok misafirlerim canlarının istediği gibi kullansın diyorsanız izin verilebilir. Hem izin vereyim hem kontrol edeyim derseniz trafiğin normal dns trafiği olup olmadığını kontrol eden snort kuralları yazmak gerekir. Çok sancılı bir süreç olacaktır :)

    @tuzsuzdeli:

    @seker'e katılıyorum.
    Kendi network kullanıcılarınız için zaten "istedikleri dns sunucusunu kullanırlar" gibi bir durum sözkonusu değil.
    Dışarıdan gelenleri mutlaka başka bir interface üzerinden internete bağlamakta fayda var.
    En basitinden bir tane ethernet bir tane de kablosuz acces pointten geçer çözüm.

    ben 93 den beri adanadayım. değişik amaçlar için bir çok firmaya linux çözümleri sundum. kabul edenleri gerçekleştirdim. bu sırada da gördüm ki firmalarda çalışaların basit network ayarlarını bırakın bilgisayardan haberi yok. sadece kullanması gereken programı kullanmayı biliyorlar. örneğin bir otel düşünün. hotspot ile müşterilerine internet hizmeti verecek aynı zamanda çevreden interneti koruyacak. hotspot çözümleri şimdilerde biraz daha makul denilebilecek seviyelerde, ama 5 yıl evvel iyi para idi. nix çözümleri ile hala da şuanki hotspotların yarı fiyatına yapılabilinir. bu otele 5 sene evvel gelen müşteriler farklı dns kullanıyorlarsa bunu nasıl düzelteceklerini bilmiyorlardı. şimdilerde saolsun değişik yasaklar sebebi ile herkes öğrendi. bende  google ve tübitak dns adreslerini kullanıyorum, kullandırıyorum. gelgelelim bu sorunun dns çözümlemesinden kaynaklandığını asbirim söyleyene kadar çokda düşünmemiştim. hem örnek otelimize gelen müşterilerin kaçı farklı dns kullanıyor olacak ki? ama kullanan geldiğinde de ne biçim sisteminiz var? beş para etmez bilgisayarcını var derse buda herkesin canını sıkıyor.

    hülasa; örnek otelimizde zaten captiveportal sadece müşterilere şifre ile kullandırılıyor çevreninde girmesi engelleniyor. diyelim ve zurnanın zırt dediği yere gelelim. diğer ticari çözümlerde bu durum nasıl acaba? onlar bunu aşmışlarsa nasıl aşmışlar? bilen var mı?



  • @mbunal:

    @seker:

    Eğer sizin için güvenlik, kullanılabilirlikten önemliyse çözüm kolay. Hali hazırda olduğu gibi herkes sizin DNS sunucunuzu girecek :) Nasıl ki siz servis sağlayıcının size verdiği ağ ayarları dışında keyfinize göre ayar yapamıyorsanız misafirlerinizde kullanamayacak…

    Yok misafirlerim canlarının istediği gibi kullansın diyorsanız izin verilebilir. Hem izin vereyim hem kontrol edeyim derseniz trafiğin normal dns trafiği olup olmadığını kontrol eden snort kuralları yazmak gerekir. Çok sancılı bir süreç olacaktır :)

    @tuzsuzdeli:

    @seker'e katılıyorum.
    Kendi network kullanıcılarınız için zaten "istedikleri dns sunucusunu kullanırlar" gibi bir durum sözkonusu değil.
    Dışarıdan gelenleri mutlaka başka bir interface üzerinden internete bağlamakta fayda var.
    En basitinden bir tane ethernet bir tane de kablosuz acces pointten geçer çözüm.

    ben 93 den beri adanadayım. değişik amaçlar için bir çok firmaya linux çözümleri sundum. kabul edenleri gerçekleştirdim. bu sırada da gördüm ki firmalarda çalışaların basit network ayarlarını bırakın bilgisayardan haberi yok. sadece kullanması gereken programı kullanmayı biliyorlar. örneğin bir otel düşünün. hotspot ile müşterilerine internet hizmeti verecek aynı zamanda çevreden interneti koruyacak. hotspot çözümleri şimdilerde biraz daha makul denilebilecek seviyelerde, ama 5 yıl evvel iyi para idi. nix çözümleri ile hala da şuanki hotspotların yarı fiyatına yapılabilinir. bu otele 5 sene evvel gelen müşteriler farklı dns kullanıyorlarsa bunu nasıl düzelteceklerini bilmiyorlardı. şimdilerde saolsun değişik yasaklar sebebi ile herkes öğrendi. bende  google ve tübitak dns adreslerini kullanıyorum, kullandırıyorum. gelgelelim bu sorunun dns çözümlemesinden kaynaklandığını asbirim söyleyene kadar çokda düşünmemiştim. hem örnek otelimize gelen müşterilerin kaçı farklı dns kullanıyor olacak ki? ama kullanan geldiğinde de ne biçim sisteminiz var? beş para etmez bilgisayarcını var derse buda herkesin canını sıkıyor.

    hülasa; örnek otelimizde zaten captiveportal sadece müşterilere şifre ile kullandırılıyor çevreninde girmesi engelleniyor. diyelim ve zurnanın zırt dediği yere gelelim. diğer ticari çözümlerde bu durum nasıl acaba? onlar bunu aşmışlarsa nasıl aşmışlar? bilen var mı?

    İlk olarak tüm müşterilerinizin bilgisayardan anlamadığı varsayımındasınız. Genel olarak haklı olabilirsiniz ama zaten bilgisayardan anlamayan müşteri sizin için risk taşımıyor. Mesele risk taşıyan "yaramaz" kullanıcının otele gelmesi. Bu durumda tcp 53 ve udp 53'ün her yere açık olması sıkıntı çıkartır ki biz zaten güvenlik önlemlerini uslu duran kullanıcılar için değil yaramaz kullanıcılar için alıyoruz… Yaramazlık yapmak isteyecek bir kullanıcının ilk deneyeceği -hadi bilemediniz ikinci deneyeceği- bağlantı noktası 53 olacaktır...

    Belirli DNS sunucularını izinli eklemenizde bir sakınca yok. Ama "any to any" şeklinde her hangi bir porta izin verirseniz bu size güvenlik açığı olarak döner... Bu ise "ürün" temelli bir sorun değildir "politika" temelli bir sorundur... pfSense veya ticari bir firewall kullanmanız sonucu değiştirmez. Milyon dolar değerinde bir firewall'u da her yerden her yere tcp/udp 53 erişimine izin ver diyerek yapılandırırsanız yine tünel kazılmasına izin verecek bir güvenlik açığı oluşturmuş olursunuz...

    Neresi olduğu çok önemli olmayan, ama "önemli" bir kuruma yapılan güvenlik testinde benzer bir tcp/udp 53 portu yapılandırma hatası nedeniyle atm makinelerinin (hani şu para çekmek için kullandığımız cihazlar) olduğu ağa erişim sağlanmıştı.

    Benzer şekilde Captiveportal ile Squid'i bir arada kullanıyor ve özel bir firewall kuralı yazmıyorsanız yine kullanıcıların kimlik doğrulama yapmadan internete çıkmasına neden oluyor... Yine bir güvenlik denetiminde, benzer şekilde yanlış yapılandırılan bir squid yüzünden dışarıdan iç networke sızılmıştı... :)

    Daha önce de dediğim gibi bu kurallar tamamen güvenlik politkanızla alakalıdır. Güvenlik politikanız bu durumu hoş görüyorsa veya bunun bir risk olmadığını düşünüyorsanız kullanabilirsiniz. Size kullanmayın veya bunu kullanın demiyoruz. Sadece böyle bir risk olduğunun farkında olun diyoruz... Farkındaysanız ve riski kabulleniyorsanız, erişilebilirlik güvenlikten daha önemliyse (ki olabilir) kullanmanızda bir sakınca yoktur... :)

    Saygılarımla...



  • @seker:

    İlk olarak tüm müşterilerinizin bilgisayardan anlamadığı varsayımındasınız. Genel olarak haklı olabilirsiniz ama zaten bilgisayardan anlamayan müşteri sizin için risk taşımıyor. Mesele risk taşıyan "yaramaz" kullanıcının otele gelmesi. Bu durumda tcp 53 ve udp 53'ün her yere açık olması sıkıntı çıkartır ki biz zaten güvenlik önlemlerini uslu duran kullanıcılar için değil yaramaz kullanıcılar için alıyoruz… Yaramazlık yapmak isteyecek bir kullanıcının ilk deneyeceği -hadi bilemediniz ikinci deneyeceği- bağlantı noktası 53 olacaktır...

    Belirli DNS sunucularını izinli eklemenizde bir sakınca yok. Ama "any to any" şeklinde her hangi bir porta izin verirseniz bu size güvenlik açığı olarak döner... Bu ise "ürün" temelli bir sorun değildir "politika" temelli bir sorundur... pfSense veya ticari bir firewall kullanmanız sonucu değiştirmez. Milyon dolar değerinde bir firewall'u da her yerden her yere tcp/udp 53 erişimine izin ver diyerek yapılandırırsanız yine tünel kazılmasına izin verecek bir güvenlik açığı oluşturmuş olursunuz...

    Neresi olduğu çok önemli olmayan, ama "önemli" bir kuruma yapılan güvenlik testinde benzer bir tcp/udp 53 portu yapılandırma hatası nedeniyle atm makinelerinin (hani şu para çekmek için kullandığımız cihazlar) olduğu ağa erişim sağlanmıştı.

    Benzer şekilde Captiveportal ile Squid'i bir arada kullanıyor ve özel bir firewall kuralı yazmıyorsanız yine kullanıcıların kimlik doğrulama yapmadan internete çıkmasına neden oluyor... Yine bir güvenlik denetiminde, benzer şekilde yanlış yapılandırılan bir squid yüzünden dışarıdan iç networke sızılmıştı... :)

    Daha önce de dediğim gibi bu kurallar tamamen güvenlik politkanızla alakalıdır. Güvenlik politikanız bu durumu hoş görüyorsa veya bunun bir risk olmadığını düşünüyorsanız kullanabilirsiniz. Size kullanmayın veya bunu kullanın demiyoruz. Sadece böyle bir risk olduğunun farkında olun diyoruz... Farkındaysanız ve riski kabulleniyorsanız, erişilebilirlik güvenlikten daha önemliyse (ki olabilir) kullanmanızda bir sakınca yoktur... :)

    Saygılarımla...

    sayın şeker kardeşim;

    ben seni çok iyi anladım. durumunda farkında olduğumu sanıyordum. yazılanları okuyan herkes gibi şimdi cidden farkına vardım. geldiğimiz noktada benim merak ettiğim şu: diğer ücretli olan hotspot ürünlerde de pfsense deki gibi farklı dns yazılınca login ekranı gelmiyor mu? eğer geliyorsa dns portunu any to any açmadan nasıl çözmüş olabilirler? bu captive portal denilen sistemin farklı çeşitleri varda pfsense de kullanılan dns olarak pfsense girilmezse çalışmayan tipi mi? merak ediyorum. öğrenmek istyorum. araştırdım ama kıt ingilizcem yetmedi. sorabileceğim yerlere soruyorum.

    şu an için müşteri portföyümde güvenliği 1. dereccede önemseyen kimse yok. daha çok erişilebilirlik tercih ediliyor. bende bu şekilde yöneliyorum. hepsi bu. anladığım kadarı ile yaptığımız modifikasyon ciddi bir güvenlik açığı oluştrabileceği için bu kadar üstünde durdunuz. güvenliği 1. derecede gözetenleri uyarmak için çok da iyi yaptınız. herkes adına teşekkür ederim.

    ama işte merak. diğer hotspot cihazlarda pfsense deki bu durum nasıl? ne kullanıyorlarda hallediyorlar farklı dns kullanma işini?

    herkese kolay gele,
    Barış.



  • Merhabalar,

    Çoğu yerde MikroTik kullanıyorum.

    Mikrotikte mantık nasıl işliyor bilmiyorum ama

    bağlanan cihazın(bilgisayarın) ip adresi, ağ maskesi, ağ geçidi ve dns adresi ne olursa olsun login ekranı geliyor ve login olunca internete girişi sağlıyor.

    Ama nasıl olduğunu anlamış edilim. Sonuçta mikrotik 'in içindeki yazılım da bir çeşit *nix türevi.

    Saygılar,



  • @mbunal:

    ama işte merak. diğer hotspot cihazlarda pfsense deki bu durum nasıl? ne kullanıyorlarda hallediyorlar farklı dns kullanma işini?

    herkese kolay gele,
    Barış.

    Diğerleri nasıl hallediyor konusuna vakıf değilim ancak pfSense de nasıl işlediğini anlatabilirim… pfSense captiveportal "layer 3" (detaylar için OSI Referans modeline bakınız) seviyesinde, yani tcp/ip seviyesinde işlem yapıyor ve başlamış olan TCP/IP oturumunun (detaylar için RFC793'ü okuyabilirsiniz) arasına giriyor. Bu nedenle bir istemcinin karşılama ekranı görebilmesi için öncelikle bir tcp/ip oturumu başlatması gerekiyor. Bunun içinde öncelikle IP adresi, ağ geçidi, DNS sunucusu almış olması ve DNS sunucuna ulaşabiliyor olması gerekiyor...

    Siz web tarayıcınıza web adresi yazdığınızda, TCP/IP oturumunun başlaması için öncelikle yazdığınız alan adının IP adresine çevilirlmesi (detaylar için RFC1034) gerekiyor. Yazdığınız alan adı IP adresine çevirildikten sonra bilgisayarınız ilgili IP adresine bağlantı kurmaya çalşır. Eğer bu noktada ağ geçidiniz captiveportal çalıştıran bir pfSense ise karşınıza meşhur karşılama ekranımız gelir ve kimlik doğrulama yapmanızı ister... Kullanıcı adı ve parolanızı doğru yazdığınızda sizin IP/MAC adresiniz için TCP/IP seviyesindeki her şey yasak kuralını kaldırır ve siz internete erşim kazanırsınız...

    Şimdi bu senaryoda biraz geriye gidelim... Web tarayıcısına adresi yazdığımızda eğer DNS sorgusuna cevap alıp yazdığımız adresin IP karşılığınu bulamazsak TCP/IP oturumu başlatılmaz. TCP/IP oturumu başlamadığı için pfSense'in araya girebileceği bir durum ortaya çıkmaz. Çünkü web tarayıcınız ben adresi çözemedim der ve olduğu yerde kalır. Hiç bir yere gitmeye çalışmaz.. Hiç bir yere gitmeyen bir tarayıcıyı farklı bir yere yönlendiremezsiniz... :)

    DNS yanlış yada erişilemez olduğunda karşınıza çıkan sorunun nedeni budur. Bu yüzden karşılama ekranı gösterebilmek için DNS erişilebilri olmalıdır ve pfSense gateway konumunda bulunmalıdır... Bu yüzden siz kullanıcının girdiği DNS

    @MuratRaci:

    Mikrotikte mantık nasıl işliyor bilmiyorum ama

    bağlanan cihazın(bilgisayarın) ip adresi, ağ maskesi, ağ geçidi ve dns adresi ne olursa olsun login ekranı geliyor ve login olunca internete girişi sağlıyor.

    Ama nasıl olduğunu anlamış edilim. Sonuçta mikrotik 'in içindeki yazılım da bir çeşit *nix türevi.

    Saygılar,

    Mikrotik nasıl çalışıyor bende bilmiyorum. Eğer dediğiniz gibi ise DNS protokolü kafadan izinli geliyor olabilir veya şu an bilmediğim başka bir yöntem kullanıyor olabilirler. IP adresi, ağ maskesi ne olursa olsun dediğinize göre büyük olasılıkla "Layer 2" seviyesinde işlem yapıyor olabilir varsayımını çıkartıyorum… Uygun bir cihaz ve yeterli zamanı bulursak biraz kurcalar ne yaptığını anlamaya çalışabiliriz...

    Aklınıza gelen tüm ağ cihazlarının (router, modem ya da her neyse işte) , android, blackberry ve iphone gibi telefonların, ipod, ipad, mac gibi cihazların, akıllı resim çerçevelerinin ve hatta kısmen de olsa windows işletim sisteminin içinde de Unix türevleri çalışıyor :) Özetle "Bize Her Yer Unix" :)

    Saygılarımla...



  • Teşekkürler,

    :)

    @seker:

    @mbunal:

    ama işte merak. diğer hotspot cihazlarda pfsense deki bu durum nasıl? ne kullanıyorlarda hallediyorlar farklı dns kullanma işini?

    herkese kolay gele,
    Barış.

    Diğerleri nasıl hallediyor konusuna vakıf değilim ancak pfSense de nasıl işlediğini anlatabilirim… pfSense captiveportal "layer 3" (detaylar için OSI Referans modeline bakınız) seviyesinde, yani tcp/ip seviyesinde işlem yapıyor ve başlamış olan TCP/IP oturumunun (detaylar için RFC793'ü okuyabilirsiniz) arasına giriyor. Bu nedenle bir istemcinin karşılama ekranı görebilmesi için öncelikle bir tcp/ip oturumu başlatması gerekiyor. Bunun içinde öncelikle IP adresi, ağ geçidi, DNS sunucusu almış olması ve DNS sunucuna ulaşabiliyor olması gerekiyor...

    Siz web tarayıcınıza web adresi yazdığınızda, TCP/IP oturumunun başlaması için öncelikle yazdığınız alan adının IP adresine çevilirlmesi (detaylar için RFC1034) gerekiyor. Yazdığınız alan adı IP adresine çevirildikten sonra bilgisayarınız ilgili IP adresine bağlantı kurmaya çalşır. Eğer bu noktada ağ geçidiniz captiveportal çalıştıran bir pfSense ise karşınıza meşhur karşılama ekranımız gelir ve kimlik doğrulama yapmanızı ister... Kullanıcı adı ve parolanızı doğru yazdığınızda sizin IP/MAC adresiniz için TCP/IP seviyesindeki her şey yasak kuralını kaldırır ve siz internete erşim kazanırsınız...

    Şimdi bu senaryoda biraz geriye gidelim... Web tarayıcısına adresi yazdığımızda eğer DNS sorgusuna cevap alıp yazdığımız adresin IP karşılığınu bulamazsak TCP/IP oturumu başlatılmaz. TCP/IP oturumu başlamadığı için pfSense'in araya girebileceği bir durum ortaya çıkmaz. Çünkü web tarayıcınız ben adresi çözemedim der ve olduğu yerde kalır. Hiç bir yere gitmeye çalışmaz.. Hiç bir yere gitmeyen bir tarayıcıyı farklı bir yere yönlendiremezsiniz... :)

    DNS yanlış yada erişilemez olduğunda karşınıza çıkan sorunun nedeni budur. Bu yüzden karşılama ekranı gösterebilmek için DNS erişilebilri olmalıdır ve pfSense gateway konumunda bulunmalıdır... Bu yüzden siz kullanıcının girdiği DNS

    @MuratRaci:

    Mikrotikte mantık nasıl işliyor bilmiyorum ama

    bağlanan cihazın(bilgisayarın) ip adresi, ağ maskesi, ağ geçidi ve dns adresi ne olursa olsun login ekranı geliyor ve login olunca internete girişi sağlıyor.

    Ama nasıl olduğunu anlamış edilim. Sonuçta mikrotik 'in içindeki yazılım da bir çeşit *nix türevi.

    Saygılar,

    Mikrotik nasıl çalışıyor bende bilmiyorum. Eğer dediğiniz gibi ise DNS protokolü kafadan izinli geliyor olabilir veya şu an bilmediğim başka bir yöntem kullanıyor olabilirler. IP adresi, ağ maskesi ne olursa olsun dediğinize göre büyük olasılıkla "Layer 2" seviyesinde işlem yapıyor olabilir varsayımını çıkartıyorum… Uygun bir cihaz ve yeterli zamanı bulursak biraz kurcalar ne yaptığını anlamaya çalışabiliriz...

    Aklınıza gelen tüm ağ cihazlarının (router, modem ya da her neyse işte) , android, blackberry ve iphone gibi telefonların, ipod, ipad, mac gibi cihazların, akıllı resim çerçevelerinin ve hatta kısmen de olsa windows işletim sisteminin içinde de Unix türevleri çalışıyor :) Özetle "Bize Her Yer Unix" :)

    Saygılarımla...



  • port 53 tunnel acigini kapatmak icin soyle bir yontem deneyebilirsiniz.
    1- herhangi bir interface istediginiz bir vlan olusturun.
    2- bu vlan icin static ip tanimlamasi yapin.
    3- ardindan  nat -> port forward yardimi ile dns yonlendirmesi yapmak her interface icin bir kural olusturacagiz.
      a- interface secin (orn. LAN)
      b- source icin networf girin veya secin.(orn. LAN subet)
      c- destination any secin
      d- port olarak DNS (53) secin
      e- redirect ip icin ayarlamis oldugunuz vlan in static ipsini yazin
      f- redirect port icin DNS (53) secin ve kaydedin

    dns yonlendirmesi yapmak istediginiz her interface icin tekrarlayin redirect ip ve port ayni olacak sekilde.

    yardimci olmasi icin resimleri ekliyorum.

    butun diger alanlari oldugu gibi birakin.

    bunlari yaptiktan sonra captive portal da 53 portuna surekli izin verebilirsiniz. artik sadece sizin general setup da ayarladiginiz dnslere sorgu yapilacak. isterseniz dns forwarder dan domain engelleme dahi yapabilirsiniz.

    ![vlan add.png](/public/imported_attachments/1/vlan add.png)
    ![vlan add.png_thumb](/public/imported_attachments/1/vlan add.png_thumb)
    ![vlan assign.png](/public/imported_attachments/1/vlan assign.png)
    ![vlan assign.png_thumb](/public/imported_attachments/1/vlan assign.png_thumb)
    ![interface assign.png](/public/imported_attachments/1/interface assign.png)
    ![interface assign.png_thumb](/public/imported_attachments/1/interface assign.png_thumb)
    ![nat 1.png](/public/imported_attachments/1/nat 1.png)
    ![nat 1.png_thumb](/public/imported_attachments/1/nat 1.png_thumb)
    ![nat 2.png](/public/imported_attachments/1/nat 2.png)
    ![nat 2.png_thumb](/public/imported_attachments/1/nat 2.png_thumb)
    ![nat list.png](/public/imported_attachments/1/nat list.png)
    ![nat list.png_thumb](/public/imported_attachments/1/nat list.png_thumb)



  • selam asbirim.

    bu yazdıkların 53 nolu portu dışarıya direk açmadan yapılıyor değil mi? birde denediğini ve herhangi bir sorunla karşılaşmadığınıı varsayıyorum.

    @asbirim:

    port 53 tunnel acigini kapatmak icin soyle bir yontem deneyebilirsiniz.
    1- herhangi bir interface istediginiz bir vlan olusturun.
    2- bu vlan icin static ip tanimlamasi yapin.
    3- ardindan  nat -> port forward yardimi ile dns yonlendirmesi yapmak her interface icin bir kural olusturacagiz.
      a- interface secin (orn. LAN)
      b- source icin networf girin veya secin.(orn. LAN subet)
      c- destination any secin
      d- port olarak DNS (53) secin
      e- redirect ip icin ayarlamis oldugunuz vlan in static ipsini yazin
      f- redirect port icin DNS (53) secin ve kaydedin

    dns yonlendirmesi yapmak istediginiz her interface icin tekrarlayin redirect ip ve port ayni olacak sekilde.

    yardimci olmasi icin resimleri ekliyorum.

    butun diger alanlari oldugu gibi birakin.

    bunlari yaptiktan sonra captive portal da 53 portuna surekli izin verebilirsiniz. artik sadece sizin general setup da ayarladiginiz dnslere sorgu yapilacak. isterseniz dns forwarder dan domain engelleme dahi yapabilirsiniz.



  • hayır daha once bahsettigim yontemdeki gibi 53 portunu ipfw den actiginizi varsayıiyorum. ama 53 portunu natladigimizdan aslinda disariya degil sizin acmis oldugunuz sanal interface e yonleniyor ve pfsense cevap veriyor. bu durumda port tunnel gibi bir acik soz konusu olmuyor. test amacli denedigim tum sistemlerde nslookup sonuclarindan ve states tablosundan calistigini gozlemledim. ornek olarak dns forwarder da bir entry girip nat yonlendirmesini yaptiktan sonra
    nslookup - 8.8.8.8 veya baska bir dns e girdiginiz entry sorguladiginizda pfsense de ki entry nin ip gelecektir. bu da demektir ki 53 portu aslina verilen ip e degil nat yontemi ile sorguyu gene pfsense e yapmaktadir.

    @mbunal:

    selam asbirim.

    bu yazdıkların 53 nolu portu dışarıya direk açmadan yapılıyor değil mi? birde denediğini ve herhangi bir sorunla karşılaşmadığınıı varsayıyorum.



  • Ellerine sağlık kardeş.

    @asbirim:

    hayır daha once bahsettigim yontemdeki gibi 53 portunu ipfw den actiginizi varsayıiyorum. ama 53 portunu natladigimizdan aslinda disariya degil sizin acmis oldugunuz sanal interface e yonleniyor ve pfsense cevap veriyor. bu durumda port tunnel gibi bir acik soz konusu olmuyor. test amacli denedigim tum sistemlerde nslookup sonuclarindan ve states tablosundan calistigini gozlemledim. ornek olarak dns forwarder da bir entry girip nat yonlendirmesini yaptiktan sonra
    nslookup - 8.8.8.8 veya baska bir dns e girdiginiz entry sorguladiginizda pfsense de ki entry nin ip gelecektir. bu da demektir ki 53 portu aslina verilen ip e degil nat yontemi ile sorguyu gene pfsense e yapmaktadir.



  • arkadaşlar bunu nasıl çözdünüz?

    ben sizin yukarıda vermiş olduğunuz ve benimde aşağıda adres yazdığım yere winscp ile girdim sonra oradaki 559.ncu satırda bulunanları sizin yukarıda verdiklerinizle notepad++ ile değiştirdim amma velakin elle dns verilmiş olan makinaları yine cp karşılamadı.

    adres:
    /etc/inc/captiveportal.inc
    yazdıklarım
    #dns pass
    add 65529 allow udp from any to any dst-port 53 keep-state
    add 65530 allow tcp from any to any dst-port 53 keep-state

    redirect non-authenticated clients to captive portal

    add 65531 set 1 fwd 127.0.0.1,8000 tcp from any to any in

    let the responses from the captive portal web server back out

    add 65532 set 1 pass tcp from any to any out

    block everything else

    add 65533 set 1 deny all from any to any

    pass everything else on layer2

    add 65534 set 1 pass all from any to any layer2

    çözüm olarak ne yapmamız lazım? pfsense 2.1 kullanıyorum.teşekkürler.

    reboot edince düzeldi :)



  • @asbirim:

    port 53 tunnel acigini kapatmak icin soyle bir yontem deneyebilirsiniz.
    1- herhangi bir interface istediginiz bir vlan olusturun.
    2- bu vlan icin static ip tanimlamasi yapin.
    3- ardindan  nat -> port forward yardimi ile dns yonlendirmesi yapmak her interface icin bir kural olusturacagiz.
      a- interface secin (orn. LAN)
      b- source icin networf girin veya secin.(orn. LAN subet)
      c- destination any secin
      d- port olarak DNS (53) secin
      e- redirect ip icin ayarlamis oldugunuz vlan in static ipsini yazin
      f- redirect port icin DNS (53) secin ve kaydedin

    dns yonlendirmesi yapmak istediginiz her interface icin tekrarlayin redirect ip ve port ayni olacak sekilde.

    yardimci olmasi icin resimleri ekliyorum.

    butun diger alanlari oldugu gibi birakin.

    bunlari yaptiktan sonra captive portal da 53 portuna surekli izin verebilirsiniz. artik sadece sizin general setup da ayarladiginiz dnslere sorgu yapilacak. isterseniz dns forwarder dan domain engelleme dahi yapabilirsiniz.

    Bu çözüm aynı bizim abonelerimize güvenli internet verirken kullanıdğımız forwarding mode çözümü. mantık doğru. teşekkürler @asbirim



  • Kusura bakmazsanız bir sey sorucam captive portal altında allowed ip adrese girdigimizde

    ip adres -description -bandwit up down diye yerler var dns adreslerini burda nereye girmemiz lazım tek tek



  • Yeni sürümde çalışıyor mu bu paylaşılan yöntem? Deneyen var mı?



  • standart bir yönlendirme kuralı olduğundan, çalışması lazım.



  • @tuzsuzdeli:

    standart bir yönlendirme kuralı olduğundan, çalışması lazım.

    Peki ben niye yapamıyorum? Şu an bunu yeni sürümde deneyip çalıştırabilen var mı?


Log in to reply