PfSense 2.2.2 - Trasteando con DNS Resolver
-
1. Instalé la 2.2.2 en un equipo 32 bit.
2. Lo puse detrás de un pfSense en producción.
3. WAN en modo DHCP contra la LAN del pfSense en producción, adquiriendo también los DNS que le da el pfSense en producción.
4. Regla en LAN del pfSense en producción para que pase todo lo que venga del pfSense 2.2.2.
5. Puse un PC en LAN del 2.2.2, en modo DHCP.
6. Sin navegación en el PC.
7. Añadida regla para que permita usar LAN Address como DNS. No sé si es adrede que falte esta regla en la configuración inicial o es un error (bug). Hasta que añadí esta regla tampoco podían usarse los DNS en la LAN del pfSense en producción ni externos en internet. Ver imagen.
En el 2.2.2 DNS Forwarder desactivado y DNS Resolver activado, tal como viene por defecto.
Habrá que terminar de estudiar bien estos cambios de DNS introducidos a partir de la 2.2 (2.2.0)…
https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
-
Bueno, al final resultó lo de siempre… Tras más pruebas, quitar la regla y reiniciar todo la regla no parece necesaria.
Cosas que pasan cuando trasteas…
-
Pero sí hay otro problema.
En la LAN del pfSense en producción tengo hecho DNS Split tanto en pfSense como en el otro DNS local que tengo.
De esta forma los servidores de midominio.extension se resuelven con su IP privada y no la pública.
Parece que la seguridad del DNS Resolver no se fía de los DNS Split hechos en la LAN y resuelve indicando la IP pública.
Añadir que como tengo "inventariados" todo tipo de equipos por equipo.midominio.extension los que no tienen IP pública, lógicamente, no son resueltos.
Como conclusión se puede ver que DNS Resolver aporta seguridad al fiarse sólo de root servers y de los overrides que tenga él configurados.
Uses DNSSEC to validate DNS queries. Be aware that it is recommended to disable forwarding and allow Unbound to handle all DNS resolution via root servers, which is the default behavior.
Probé a deshabilitar DNSSEC pero no tuve éxito.
-
Hola. Encontré un link interesante sobre Unbound, ayuda un poco para ir viendo como funciona.
https://calomel.org/unbound_dns.html
Saludos,
-
¡Fantástico!
Ciertamente calomel.org es un sitio muy recomendable para BSD…
Contains "how to's" covering open source programs for OpenBSD, FreeBSD, and Linux.