Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Regola firewall che blocchi i dns amplification - aiuto

    Scheduled Pinned Locked Moved Italiano
    10 Posts 2 Posters 3.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cybermod
      last edited by

      ciao a tutti!

      Mi trovo nella spiacevole situazione di avere un client da qualche parte che genera richieste dns ad minchiam.
      Il provider mi ha già sbattuto fuori dai suoi dns (trattasi di welcome) ed ora sto utilizzando quelli di google.

      Sicuramente devo localizzare la macchina incriminata, ma non so come si possa fare una sorta di sniffing di tutte le reti (tra fisiche e vlan, o qualcosa come 20 reti separate) in oltre:

      • come si realizza una regola sui firewall per evitare questo tipo di attacco interno?

      Grazie per il supporto!

      1 Reply Last reply Reply Quote 0
      • fabio.viganoF
        fabio.vigano
        last edited by

        ciao, per catturare i pacchetti e farne l'analisi puoi usare il packet capture, qui spiego come fare http://www.pfsenseitaly.com/2013/06/catturare-pacchetti-con-pfsense.html
        nel tuo caso mi metterei in ascolto sulla wan filtdando sulla porta del dns.
        poi per porre fine al problema attiverei il dns forwarder di pfsense e bloccherei le richieste dns non fatte direttamente da pfsense. ciao

        ===============================
        pfSenseItaly.com
        La risorsa italiana per pfSense

        Se il post o la risposta ti sono stati utili clicca su 👍

        1 Reply Last reply Reply Quote 0
        • C
          cybermod
          last edited by

          Ciao Fabio, come al solito grazie per la tua presenza sul forum.

          ho seguito la tua guida ma non funziona, non riesco a vedere granchè di traffico (anzi non vedo nulla…..)
          Forse perchè dietro a questa interfaccia di pfsense c'è un altro apparato? Però mi fa strano perchè di traffico ce n'è lo stesso :s

          come si attiva il dns forwarder e come posso bloccare le richieste dns non fatte direttamente da pfsense?

          Grazie per l'aiuto e le spiegazioni, almeno imparo qualcosa

          • giusto per prova, ho fatto la stessa operazione ma restando sulla rete dell'azienda (la lan che dedico per riversagli tutto il traffico in nat), e da qui qualcosa riesco ad ottenere.
            Nel packet capture ho specificato la porta 53, vedi qualcosa di anomalo?
          09:38:23.765033 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 43368, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.52428 > 10.10.1.1.53: [udp sum ok] 56921+ A? iprep1.elitec.ctmail.com. (42)
09:38:23.765204 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 23687, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.52428: [udp sum ok] 56921 q: A? iprep1.elitec.ctmail.com. 2/0/0 iprep1.elitec.ctmail.com. CNAME ipres.1.geo.ctmail.com., ipres.1.geo.ctmail.com. A 216.163.188.34 (94)
09:38:23.766172 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 43368, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.37418 > 10.10.1.1.53: [udp sum ok] 6999+ A? iprep2.elitec.ctmail.com. (42)
09:38:23.775001 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 21558, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.37418: [udp sum ok] 6999 q: A? iprep2.elitec.ctmail.com. 2/0/0 iprep2.elitec.ctmail.com. CNAME ipres.2.geo.ctmail.com., ipres.2.geo.ctmail.com. A 38.113.116.214 (94)
09:38:23.776163 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 43370, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.49489 > 10.10.1.1.53: [udp sum ok] 43608+ A? iprep3.elitec.ctmail.com. (42)
09:38:23.785007 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 17949, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.49489: [udp sum ok] 43608 q: A? iprep3.elitec.ctmail.com. 2/0/0 iprep3.elitec.ctmail.com. CNAME ipres.3.geo.ctmail.com., ipres.3.geo.ctmail.com. A 64.191.223.36 (94)
09:38:23.785977 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 43373, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.55637 > 10.10.1.1.53: [udp sum ok] 38457+ A? iprep4.elitec.ctmail.com. (42)
09:38:23.794987 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 62585, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.55637: [udp sum ok] 38457 q: A? iprep4.elitec.ctmail.com. 2/0/0 iprep4.elitec.ctmail.com. CNAME ipres.4.geo.ctmail.com., ipres.4.geo.ctmail.com. A 84.39.153.32 (94)
09:38:23.795909 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 43375, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.44992 > 10.10.1.1.53: [udp sum ok] 38695+ A? iprep5.elitec.ctmail.com. (42)
09:38:23.804993 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 36484, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.44992: [udp sum ok] 38695 q: A? iprep5.elitec.ctmail.com. 2/0/0 iprep5.elitec.ctmail.com. CNAME ipres.5.geo.ctmail.com., ipres.5.geo.ctmail.com. A 84.39.152.32 (94)
09:38:29.524486 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 44808, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.45482 > 10.10.1.1.53: [udp sum ok] 10791+ A? resolver1.elitec.ctmail.com. (45)
09:38:29.524723 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 64187, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.45482: [udp sum ok] 10791 q: A? resolver1.elitec.ctmail.com. 2/0/0 resolver1.elitec.ctmail.com. CNAME resolver.1.geo.ctmail.com., resolver.1.geo.ctmail.com. A 216.163.188.45 (100)
09:38:29.525675 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 44808, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.43998 > 10.10.1.1.53: [udp sum ok] 59983+ A? resolver2.elitec.ctmail.com. (45)
09:38:29.533669 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 56792, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.43998: [udp sum ok] 59983 q: A? resolver2.elitec.ctmail.com. 2/0/0 resolver2.elitec.ctmail.com. CNAME resolver.2.geo.ctmail.com., resolver.2.geo.ctmail.com. A 38.113.116.210 (100)
09:38:29.534978 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 44810, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.32944 > 10.10.1.1.53: [udp sum ok] 33722+ A? resolver3.elitec.ctmail.com. (45)
09:38:29.543981 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 58286, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.32944: [udp sum ok] 33722 q: A? resolver3.elitec.ctmail.com. 2/0/0 resolver3.elitec.ctmail.com. CNAME resolver.3.geo.ctmail.com., resolver.3.geo.ctmail.com. A 64.191.223.35 (100)
09:38:29.546607 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 44813, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.33992 > 10.10.1.1.53: [udp sum ok] 5273+ A? resolver4.elitec.ctmail.com. (45)
09:38:29.553633 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 42438, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.33992: [udp sum ok] 5273 q: A? resolver4.elitec.ctmail.com. 2/0/0 resolver4.elitec.ctmail.com. CNAME resolver.4.geo.ctmail.com., resolver.4.geo.ctmail.com. A 84.39.153.31 (100)
09:38:29.554488 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 44815, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.35527 > 10.10.1.1.53: [udp sum ok] 16804+ A? resolver5.elitec.ctmail.com. (45)
09:38:29.563619 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 22435, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.35527: [udp sum ok] 16804 q: A? resolver5.elitec.ctmail.com. 2/0/0 resolver5.elitec.ctmail.com. CNAME resolver.5.geo.ctmail.com., resolver.5.geo.ctmail.com. A 84.39.152.31 (100)
09:38:53.806926 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 50879, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.46974 > 10.10.1.1.53: [udp sum ok] 56134+ A? iprep1.elitec.ctmail.com. (42)
09:38:53.807170 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 61840, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.46974: [udp sum ok] 56134 q: A? iprep1.elitec.ctmail.com. 2/0/0 iprep1.elitec.ctmail.com. CNAME ipres.1.geo.ctmail.com., ipres.1.geo.ctmail.com. A 216.163.188.34 (94)
09:38:53.807974 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 50879, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.60386 > 10.10.1.1.53: [udp sum ok] 61488+ A? iprep2.elitec.ctmail.com. (42)
09:38:53.808895 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 6152, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.60386: [udp sum ok] 61488 q: A? iprep2.elitec.ctmail.com. 2/0/0 iprep2.elitec.ctmail.com. CNAME ipres.2.geo.ctmail.com., ipres.2.geo.ctmail.com. A 38.113.116.214 (94)
09:38:53.809679 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 50879, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.40705 > 10.10.1.1.53: [udp sum ok] 14810+ A? iprep3.elitec.ctmail.com. (42)
09:38:53.817898 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 38471, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.40705: [udp sum ok] 14810 q: A? iprep3.elitec.ctmail.com. 2/0/0 iprep3.elitec.ctmail.com. CNAME ipres.3.geo.ctmail.com., ipres.3.geo.ctmail.com. A 64.191.223.36 (94)
09:38:53.818557 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 50882, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.45757 > 10.10.1.1.53: [udp sum ok] 48285+ A? iprep4.elitec.ctmail.com. (42)
09:38:53.827896 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 19751, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.45757: [udp sum ok] 48285 q: A? iprep4.elitec.ctmail.com. 2/0/0 iprep4.elitec.ctmail.com. CNAME ipres.4.geo.ctmail.com., ipres.4.geo.ctmail.com. A 84.39.153.32 (94)
09:38:53.829321 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 50884, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.45478 > 10.10.1.1.53: [udp sum ok] 4992+ A? iprep5.elitec.ctmail.com. (42)
09:38:53.838101 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 59306, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.45478: [udp sum ok] 4992 q: A? iprep5.elitec.ctmail.com. 2/0/0 iprep5.elitec.ctmail.com. CNAME ipres.5.geo.ctmail.com., ipres.5.geo.ctmail.com. A 84.39.152.32 (94)
09:38:59.565853 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 52319, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.45326 > 10.10.1.1.53: [udp sum ok] 52770+ A? resolver1.elitec.ctmail.com. (45)
09:38:59.566098 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 32360, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.45326: [udp sum ok] 52770 q: A? resolver1.elitec.ctmail.com. 2/0/0 resolver1.elitec.ctmail.com. CNAME resolver.1.geo.ctmail.com., resolver.1.geo.ctmail.com. A 216.163.188.45 (100)
09:38:59.567041 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 52319, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.43784 > 10.10.1.1.53: [udp sum ok] 6616+ A? resolver2.elitec.ctmail.com. (45)
09:38:59.567175 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 14619, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.43784: [udp sum ok] 6616 q: A? resolver2.elitec.ctmail.com. 2/0/0 resolver2.elitec.ctmail.com. CNAME resolver.2.geo.ctmail.com., resolver.2.geo.ctmail.com. A 38.113.116.210 (100)
09:38:59.568066 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 52319, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.36260 > 10.10.1.1.53: [udp sum ok] 36885+ A? resolver3.elitec.ctmail.com. (45)
09:38:59.576562 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 51317, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.36260: [udp sum ok] 36885 q: A? resolver3.elitec.ctmail.com. 2/0/0 resolver3.elitec.ctmail.com. CNAME resolver.3.geo.ctmail.com., resolver.3.geo.ctmail.com. A 64.191.223.35 (100)
09:38:59.577627 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 52322, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.50012 > 10.10.1.1.53: [udp sum ok] 35183+ A? resolver4.elitec.ctmail.com. (45)
09:38:59.654732 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 132: (tos 0x0, ttl 64, id 25155, offset 0, flags [none], proto UDP (17), length 118)
    10.10.1.1.53 > 10.10.1.2.50012: [udp sum ok] 35183 q: A? resolver4.elitec.ctmail.com. 2/0/0 resolver4.elitec.ctmail.com. CNAME resolver.4.geo.ctmail.com., resolver.4.geo.ctmail.com. A 84.39.153.31 (90)
09:38:59.655797 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 87: (tos 0x0, ttl 64, id 52341, offset 0, flags [DF], proto UDP (17), length 73)
    10.10.1.2.45079 > 10.10.1.1.53: [udp sum ok] 63094+ A? resolver5.elitec.ctmail.com. (45)
09:38:59.656439 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 142: (tos 0x0, ttl 64, id 23403, offset 0, flags [none], proto UDP (17), length 128)
    10.10.1.1.53 > 10.10.1.2.45079: [udp sum ok] 63094 q: A? resolver5.elitec.ctmail.com. 2/0/0 resolver5.elitec.ctmail.com. CNAME resolver.5.geo.ctmail.com., resolver.5.geo.ctmail.com. A 84.39.152.31 (100)
09:39:23.839760 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 58388, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.47212 > 10.10.1.1.53: [udp sum ok] 64982+ A? iprep1.elitec.ctmail.com. (42)
09:39:23.839965 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 64918, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.47212: [udp sum ok] 64982 q: A? iprep1.elitec.ctmail.com. 2/0/0 iprep1.elitec.ctmail.com. CNAME ipres.1.geo.ctmail.com., ipres.1.geo.ctmail.com. A 216.163.188.34 (94)
09:39:23.840897 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 58388, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.45550 > 10.10.1.1.53: [udp sum ok] 9333+ A? iprep2.elitec.ctmail.com. (42)
09:39:23.841016 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 61042, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.45550: [udp sum ok] 9333 q: A? iprep2.elitec.ctmail.com. 2/0/0 iprep2.elitec.ctmail.com. CNAME ipres.2.geo.ctmail.com., ipres.2.geo.ctmail.com. A 38.113.116.214 (94)
09:39:23.842342 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 58388, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.59637 > 10.10.1.1.53: [udp sum ok] 47994+ A? iprep3.elitec.ctmail.com. (42)
09:39:23.850802 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 6565, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.59637: [udp sum ok] 47994 q: A? iprep3.elitec.ctmail.com. 2/0/0 iprep3.elitec.ctmail.com. CNAME ipres.3.geo.ctmail.com., ipres.3.geo.ctmail.com. A 64.191.223.36 (94)
09:39:23.851872 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 58391, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.56025 > 10.10.1.1.53: [udp sum ok] 12253+ A? iprep4.elitec.ctmail.com. (42)
09:39:23.860803 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 23058, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.56025: [udp sum ok] 12253 q: A? iprep4.elitec.ctmail.com. 2/0/0 iprep4.elitec.ctmail.com. CNAME ipres.4.geo.ctmail.com., ipres.4.geo.ctmail.com. A 84.39.153.32 (94)
09:39:23.861536 00:0d:48:0a:cd:b5 > 00:50:56:bc:00:28, ethertype IPv4 (0x0800), length 84: (tos 0x0, ttl 64, id 58393, offset 0, flags [DF], proto UDP (17), length 70)
    10.10.1.2.45533 > 10.10.1.1.53: [udp sum ok] 18662+ A? iprep5.elitec.ctmail.com. (42)
09:39:23.870823 00:50:56:bc:00:28 > 00:0d:48:0a:cd:b5, ethertype IPv4 (0x0800), length 136: (tos 0x0, ttl 64, id 1642, offset 0, flags [none], proto UDP (17), length 122)
    10.10.1.1.53 > 10.10.1.2.45533: [udp sum ok] 18662 q: A? iprep5.elitec.ctmail.com. 2/0/0 iprep5.elitec.ctmail.com. CNAME ipres.5.geo.ctmail.com., ipres.5.geo.ctmail.com. A 84.39.152.32 (94)
          1 Reply Last reply Reply Quote 0
          • fabio.viganoF
            fabio.vigano
            last edited by

            Ciao, per attivare il dns forwarder basta andare in Servizi > Dns Forwarder e mettere il flag di attivazione

            Per bloccare le richieste verso dns esterni devi:
            Creare una regola sulla lan che accetta richieste per l'ip della lan e la porta 53 e subito dopo devi creare una regola che blocca tutto il traffico che ha come destinazione IP any e porta 53
            In questo modo accetti esplicitamente il traffico dai tuoi host verso la porta 53 del firewall ma viete tutte le richieste fatte dagli host e dirette ad un qualsiasi IP e porta 53.

            Ciao Fabio

            ===============================
            pfSenseItaly.com
            La risorsa italiana per pfSense

            Se il post o la risposta ti sono stati utili clicca su 👍

            1 Reply Last reply Reply Quote 0
            • C
              cybermod
              last edited by

              ciao fabio, grazie di nuovo per la tua risposta!
              Dunque, per quanto riguarda la funzione Dns Forwarder, ho visto che è già abilitata di default dal pfsense.

              Per le regole invece ho dei dubbi, perchè non ho compreso bene quello che mi hai detto.

              Ho già una regola sulla wan (che mi è stata consigliata dai tecnici del mio provider) dove in pratica blocco le richieste prevenienti dall'esterno verso l'interno sulla porta 53

              Creare una regola sulla lan che accetta richieste per l'ip della lan e la porta 53

              questo tipo di regola come si fa?
              interface: LAN
              Protocol: TCP/UDP
              SOURCE: Network (e metto la mia classe ip tipo 192.168.1.0/24)
              Advance Port: 53
              Destination: ??????
              Destination port range: 53

              Mentre l'altra regola?

              e subito dopo devi creare una regola che blocca tutto il traffico che ha come destinazione IP any e porta 53

              Scusa ma ho poca pratica con le regole firewall!!

              1 Reply Last reply Reply Quote 0
              • fabio.viganoF
                fabio.vigano
                last edited by

                nella destination della prima regola metti l'ip dell'interfaccialan del firewall. Come porta sorgente metti any.
                la seconda regola va fatta cosi:
                action: block
                interface: lan
                protocol: udp
                source: any
                destination: any
                destination port: 53

                ciao

                ===============================
                pfSenseItaly.com
                La risorsa italiana per pfSense

                Se il post o la risposta ti sono stati utili clicca su 👍

                1 Reply Last reply Reply Quote 0
                • C
                  cybermod
                  last edited by

                  ciao Fabio, ho fatto un po' tutto quello che mi hai detto (o almeno credo di averlo fatto correttamente) ma non noto miglioramenti.
                  Sui grafici di banda della lan in questione mi risulta lo stesso del traffico anomalo in ingresso (In) che va ben oltre le possibilità della mia connessione (per questo deduco che il problema non sia risolto, probabilmente le regole che ho fatto non sono corrette).

                  per spiegare l'immagine allegata: LAN MIA sarebbe la scheda di rete dove poi dietro c'è un altro apparato router. Su questa rete ho riversato in nat 1:1 un pubblico.
                  l'ip 10.10.1.1 sarebbe appunto l'ip della mia interfaccia. l'ip del router dietro questa interfaccia è 10.10.1.2.
                  L'ultima regola che ho messo serve per abilitare tutto il traffico in uscita ma forse non è il modo giusto di gestire la cosa vero? (e qui mi scuso ancora per la mia scarsissima conoscenza delle regole di firewalling).
                  C'è una "a" che indica l'applicazione di una regola di traffic shaper.

                  A questo punto noto ancora un consumo eccessivo di banda, ma sono sicuro di aver mal interpretato le tue indicazioni vero?

                  1 Reply Last reply Reply Quote 0
                  • fabio.viganoF
                    fabio.vigano
                    last edited by

                    ciao, l'ordine delle prime due regole e'errato, devi invertirle. le regole sono applicate dall'alto verso il basso, come le hai messe tu la seconda non funziona mai.

                    ===============================
                    pfSenseItaly.com
                    La risorsa italiana per pfSense

                    Se il post o la risposta ti sono stati utili clicca su 👍

                    1 Reply Last reply Reply Quote 0
                    • fabio.viganoF
                      fabio.vigano
                      last edited by

                      stavo riguardando il tuo post e non mi son chiare alcune cose:

                      1. qual'e' lo schdma della rete
                      2. perche' hai un router sulla lan?
                      3. scrivi che hai attivato il traffic shaper ma nessuna delle regole di questa schermata ha delle code assegnate
                      4. probabilmente hai delle regole floating, non e' che vanno in conflitto con quelle della lan?
                        riesci a mandare qualche dettaglio in più?

                      ===============================
                      pfSenseItaly.com
                      La risorsa italiana per pfSense

                      Se il post o la risposta ti sono stati utili clicca su 👍

                      1 Reply Last reply Reply Quote 0
                      • C
                        cybermod
                        last edited by

                        regole invertite….. maledizione!
                        Si so che vanno dall'alto verso il basso, ma credevo che le regole di blocco andassero prima di tutte.... ora che ci penso però mi rendo conto che è un pensiero molto sbagliato!

                        cerco di darti tutte le informazioni che ti servono

                        1. qual'e' lo schdma della rete
                          In che senso? a grandi linee posso dirti di avere un pfsense davanti ad altri apparati (che possono essere altri pfsense o dei router).
                          Diciamo che il pfsense davanti a tutti è una specie di accentratore

                        2. perche' hai un router sulla lan?
                          perché questo apparato non è gestito da me direttamente, ma da una divisione con il suo it man dedicato.
                          L'esigenza era quella di dare un ip pubblico a questo apparato (e quindi il mio nat 1:1) ma di dare dei limiti di banda ben precisi, che non fossero basati sulla fiducia nei confronti di questo altro it-man.

                        3. scrivi che hai attivato il traffic shaper ma nessuna delle regole di questa schermata ha delle code assegnate
                          ...... ehm... di cosa stai parlando scusa? code? Sinceramente non ho attivato l'avanzatissimo sistema di gestione banda in base alle richieste, ci ho provato con il wizard ma è stato un disastro. Ho semplicemente messo dei limiti di banda da assegnare alle varie interfacce di rete. In alcuni casi (tipo lanproxy), la regola dice che OGNI ip dietro questa lan non supera i 2mbit in upload e in download.

                        4. probabilmente hai delle regole floating, non e' che vanno in conflitto con quelle della lan?
                          Non ho nessuna regola di floating, ho controllato per sicurezza. Purtroppo anche questo pezzo è a me sconosciuto

                        5)riesci a mandare qualche dettaglio in più?
                        chiedi e sarò felicissimo di dirti tutto (tranne le password di accesso ;)  )

                        Grazie fabio, per la disponibilità

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.