Dns solo consulta al pfsense (Solucionado)



  • Bueno, leyendo algunos post, como por ejemplo este: https://forum.pfsense.org/index.php?topic=50370.msg269129#msg269129

    Recordé que leí que se debe bloquear a los usuarios para que solo usen los dns que les da el pfsense y no que ellos pongan unos externos, pero a la hora que quise hacerlo, no supe come, ¿donde debo darle? para que logre esto?



  • No me deja subir la imagen buh :(, me marca error


  • Rebel Alliance

    Regla de FW, por encima de todas las reglas "Pass"

    Action –> "Block"
    Interface --> "LAN"
    Protocol --> "TCP/UDP"
    Source --> "Any"
    Destination --> "not"  "LAN address
    Destination port range --> "DNS" (53)

    Por debajo debe existir alguna otra regla que permita trafico a la IP de la LAN, para que lleguen las "consultas DNS"... o no navegas :P

    Listo ;)



  • Recordemos que las reglas se aplican en donde se origina el tráfico en este caso, creo que tu LAN.

    La regla seria como un

    deny source LAN subnet protocol udp dest port 53 dest addrress ! LAN address

    En este caso es para la red declarada en la LAN y con destino diferente a la ip de la LAN en el pfsense . aunque puede ser cualquier DNS. Como por ejemplo puedes asegurarte que solo snagan por los DNS de opendns para filtrarlos o de dyndns para filtrarlos o cualquier otro servicio de filtrado basado en DNS

    yo lo que hago a veces es negarle el trafico a algunos usuarios , a otros los mando para que filtre contenido vía dyndns u opendns y a otros simplemente les quito pornográfica con los DNS de norton o con algunos DNS de opendns .  a los que pagan …. Pues todo el porno jajajaj

    A ver si me salio :)

    Pruebalo.



  • Ha y me olvido de los proxies de http/s por que no les se muy bien :(



  • @ptt:

    Por debajo debe existir alguna otra regla que permita trafico a la IP de la LAN, para que lleguen las "consultas DNS"… o no navegas :P

    ¿Y esa como lo haría?, muchas gracias por la ayuda :)

    ¿solo yo tengo problemas para subir imagenes?, no me deja el foro, me marca error :(



  • @ZAC:

    ¿solo yo tengo problemas para subir imagenes?, no me deja el foro, me marca error :(

    ¿No serán demasiado grandes? Hay un límite de tamaño… Lo dice...


  • Rebel Alliance

    Parece ser que "habían" problemas respecto al tema "adjuntar archivos"

    https://forum.pfsense.org/index.php?topic=82338.0



  • Parece que continua, porque quise subir una de 4k, otra de 44k y nada, error :(



  • Bueno la subí a otro lado, ¿la regla quedaría así?



  • Si no se quieren DNS externos basta con que NO exista una regla para UDP que permita como destino el puerto 53.

    También se pueden poner reglas de bloqueo, pero es menos eficiente.

    La reglas en LAN suelen ser de paso. Y si no están, no hay paso. No es necesario (por lo general) introducir reglas de bloqueo.

    Espero haberme explicado…


  • Rebel Alliance

    Es cierto, en escenarios tales como Empresas, Instituciones Educativas, etc… Pero en el caso de un WISP/ISP generalmente se restringe menos o nada...

    En nuestro caso (pequeño WISP), por ejemplo, sólo se "controla" el tema "DNS" y "puerto 25"  el resto "pasa todo" ;)

    Creo que a veces omitimos aclarar el "escenario/entorno" en el que aplicamos lo que "mencionamos/compartimos" en el foro, y no todos utilizan pfSense  de la misma forma o en un mismo entorno.



  • Cierto me disculpo por no aclarar eso, me disculpo, bueno, de hecho, es que yo nunca le puse ninguna regla desde que instale el primer pfSense, simplemente, así como estaba me permitió todo, ahora que hice un balanceo de cargas, solo agregue la regla que aparecía en el manual que esta en la documentación.

    ptt, ¿pero no el puerto 25 si esta cerrado es para los correos electrónicos? o.O

    Entones, están esas dos reglas, agrego una imagen de como esta ahora (aun no agrego la regla que me han dicho estoy armando otro pfsense para probar :P)


  • Rebel Alliance

    En tus reglas; la tercera regla nunca aplicará, ya que la segunda aplica primero y vale para todo el trafico de cualquiera de los host de la LAN hacia cualquier destino

    Cualquier regla para "bloqueo" deberías ponerla por encima de la segunda regla (creo que ya sabes eso, pero por las dudas lo repito)

    Puerto 25 –> SMTP, Si, bloqueado para cualquier destino que NO sea "Nuestro" servidor de correo



  • Ok la eliminare si es que no tiene caso que este ahí :)



  • Bueno, aplique la regla, funciona muy "bien" excepto, porque carga facebook, todo lo que probe usando DNS externos, todo lo bloequea, pero si pongo facebook.com si entra, :(, pero bueno ahí la dejaré.

    Una pregunta más, ptt, eh andado buscando una regla que usted coloco, no se si en este foro, o en otro, para evitar que en nuestra red lan nos levanten un servidor dhcp y nos venga a molestar, disculpe que le pregunte.

    Muchas gracias a todos.


  • Rebel Alliance

    @ZAC:

    he andado buscando una regla que usted coloco, no se si en este foro, o en otro, para evitar que en nuestra red lan nos levanten un servidor dhcp y nos venga a molestar, disculpe que le pregunte.

    No, ZAC, aquí no fue… Fue en el Foro de Ubiquiti.... en un Hilo respecto a "tener los CPE's en Bridge" y "Reglas de FW en airOS"



  • Muchas gracias, disculpas, bueno, ah sufear en los foros :D


  • Rebel Alliance

    @ZAC:

    Bueno, aplique la regla, funciona muy "bien" excepto, porque carga facebook, todo lo que probe usando DNS externos, todo lo bloequea, pero si pongo facebook.com si entra, :(, pero bueno ahí la dejaré.

    ??? pero si la regla es para "evitar" el uso de DNS's "externos" (que no sean el DNS Forwarder del pfSense) No para bloquear Facebook ???



  • Si, osea, por si uno pone un DNS diferente, por ejemplo 8.8.8.8 de google, puse DNS externos, y empece a hacer consultas de páginas, y nada no abría nada, pero si ponia facebook.com si abría, se supone que con la regla si usan un DNS externo no abren nada no?


  • Rebel Alliance

    Pues fíjate que probé y "Bloquea Todo" ???

    
    C:\Users\ptt>nslookup google.com  209.244.0.3
    DNS request timed out.
        timeout was 2 seconds.
    Servidor:  UnKnown
    Address:  209.244.0.3
    
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Se agotó el tiempo de espera de la solicitud a UnKnown
    
    C:\Users\ptt>nslookup facebook.com  209.244.0.3
    DNS request timed out.
        timeout was 2 seconds.
    Servidor:  UnKnown
    Address:  209.244.0.3
    
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Se agotó el tiempo de espera de la solicitud a UnKnown
    
    C:\Users\ptt>
    
    

    Y sin la regla, pasa todo ;)

    
    C:\Users\ptt>nslookup google.com  209.244.0.3
    Servidor:  resolver1.level3.net
    Address:  209.244.0.3
    
    Respuesta no autoritativa:
    Nombre:  google.com
    Addresses:  2607:f8b0:4002:c09::65
              64.233.176.100
              64.233.176.113
              64.233.176.139
              64.233.176.101
              64.233.176.138
              64.233.176.102
    
    C:\Users\ptt>nslookup facebook.com  209.244.0.3
    Servidor:  resolver1.level3.net
    Address:  209.244.0.3
    
    Respuesta no autoritativa:
    Nombre:  facebook.com
    Addresses:  2a03:2880:2130:cf05:face:b00c:0:1
              173.252.120.6
    
    C:\Users\ptt>
    
    


  • Ya lo volví a probar, y ahora si, nada de nada, la vez pasada si respondía a facebook.com, sepa porque, pero bueno, ya funciona ahora si como debe de ser :)


Log in to reply