Dns solo consulta al pfsense (Solucionado)
-
Bueno, leyendo algunos post, como por ejemplo este: https://forum.pfsense.org/index.php?topic=50370.msg269129#msg269129
Recordé que leí que se debe bloquear a los usuarios para que solo usen los dns que les da el pfsense y no que ellos pongan unos externos, pero a la hora que quise hacerlo, no supe come, ¿donde debo darle? para que logre esto?
-
No me deja subir la imagen buh :(, me marca error
-
Regla de FW, por encima de todas las reglas "Pass"
Action –> "Block"
Interface --> "LAN"
Protocol --> "TCP/UDP"
Source --> "Any"
Destination --> "not" "LAN address
Destination port range --> "DNS" (53)Por debajo debe existir alguna otra regla que permita trafico a la IP de la LAN, para que lleguen las "consultas DNS"... o no navegas :P
Listo ;)
-
Recordemos que las reglas se aplican en donde se origina el tráfico en este caso, creo que tu LAN.
La regla seria como un
deny source LAN subnet protocol udp dest port 53 dest addrress ! LAN address
En este caso es para la red declarada en la LAN y con destino diferente a la ip de la LAN en el pfsense . aunque puede ser cualquier DNS. Como por ejemplo puedes asegurarte que solo snagan por los DNS de opendns para filtrarlos o de dyndns para filtrarlos o cualquier otro servicio de filtrado basado en DNS
yo lo que hago a veces es negarle el trafico a algunos usuarios , a otros los mando para que filtre contenido vía dyndns u opendns y a otros simplemente les quito pornográfica con los DNS de norton o con algunos DNS de opendns . a los que pagan …. Pues todo el porno jajajaj
A ver si me salio :)
Pruebalo.
-
Ha y me olvido de los proxies de http/s por que no les se muy bien :(
-
@ptt:
Por debajo debe existir alguna otra regla que permita trafico a la IP de la LAN, para que lleguen las "consultas DNS"… o no navegas :P
¿Y esa como lo haría?, muchas gracias por la ayuda :)
¿solo yo tengo problemas para subir imagenes?, no me deja el foro, me marca error :(
-
@ZAC:
¿solo yo tengo problemas para subir imagenes?, no me deja el foro, me marca error :(
¿No serán demasiado grandes? Hay un límite de tamaño… Lo dice...
-
Parece ser que "habían" problemas respecto al tema "adjuntar archivos"
https://forum.pfsense.org/index.php?topic=82338.0
-
Parece que continua, porque quise subir una de 4k, otra de 44k y nada, error :(
-
Bueno la subí a otro lado, ¿la regla quedaría así?
-
Si no se quieren DNS externos basta con que NO exista una regla para UDP que permita como destino el puerto 53.
También se pueden poner reglas de bloqueo, pero es menos eficiente.
La reglas en LAN suelen ser de paso. Y si no están, no hay paso. No es necesario (por lo general) introducir reglas de bloqueo.
Espero haberme explicado…
-
Es cierto, en escenarios tales como Empresas, Instituciones Educativas, etc… Pero en el caso de un WISP/ISP generalmente se restringe menos o nada...
En nuestro caso (pequeño WISP), por ejemplo, sólo se "controla" el tema "DNS" y "puerto 25" el resto "pasa todo" ;)
Creo que a veces omitimos aclarar el "escenario/entorno" en el que aplicamos lo que "mencionamos/compartimos" en el foro, y no todos utilizan pfSense de la misma forma o en un mismo entorno.
-
Cierto me disculpo por no aclarar eso, me disculpo, bueno, de hecho, es que yo nunca le puse ninguna regla desde que instale el primer pfSense, simplemente, así como estaba me permitió todo, ahora que hice un balanceo de cargas, solo agregue la regla que aparecía en el manual que esta en la documentación.
ptt, ¿pero no el puerto 25 si esta cerrado es para los correos electrónicos? o.O
Entones, están esas dos reglas, agrego una imagen de como esta ahora (aun no agrego la regla que me han dicho estoy armando otro pfsense para probar :P)
-
En tus reglas; la tercera regla nunca aplicará, ya que la segunda aplica primero y vale para todo el trafico de cualquiera de los host de la LAN hacia cualquier destino
Cualquier regla para "bloqueo" deberías ponerla por encima de la segunda regla (creo que ya sabes eso, pero por las dudas lo repito)
Puerto 25 –> SMTP, Si, bloqueado para cualquier destino que NO sea "Nuestro" servidor de correo
-
Ok la eliminare si es que no tiene caso que este ahí :)
-
Bueno, aplique la regla, funciona muy "bien" excepto, porque carga facebook, todo lo que probe usando DNS externos, todo lo bloequea, pero si pongo facebook.com si entra, :(, pero bueno ahí la dejaré.
Una pregunta más, ptt, eh andado buscando una regla que usted coloco, no se si en este foro, o en otro, para evitar que en nuestra red lan nos levanten un servidor dhcp y nos venga a molestar, disculpe que le pregunte.
Muchas gracias a todos.
-
@ZAC:
he andado buscando una regla que usted coloco, no se si en este foro, o en otro, para evitar que en nuestra red lan nos levanten un servidor dhcp y nos venga a molestar, disculpe que le pregunte.
No, ZAC, aquí no fue… Fue en el Foro de Ubiquiti.... en un Hilo respecto a "tener los CPE's en Bridge" y "Reglas de FW en airOS"
-
Muchas gracias, disculpas, bueno, ah sufear en los foros :D
-
@ZAC:
Bueno, aplique la regla, funciona muy "bien" excepto, porque carga facebook, todo lo que probe usando DNS externos, todo lo bloequea, pero si pongo facebook.com si entra, :(, pero bueno ahí la dejaré.
??? pero si la regla es para "evitar" el uso de DNS's "externos" (que no sean el DNS Forwarder del pfSense) No para bloquear Facebook ???
-
Si, osea, por si uno pone un DNS diferente, por ejemplo 8.8.8.8 de google, puse DNS externos, y empece a hacer consultas de páginas, y nada no abría nada, pero si ponia facebook.com si abría, se supone que con la regla si usan un DNS externo no abren nada no?