Bloccare richieste dns provenienti da altri ip, in caso di cambio dell'utente



  • buongiorno,

    tramite il mio pfsense gestisco più sotto reti, attraverso le interfacce logiche.

    Ora devo inserire i dns di opendns (con il content filter) ed evitare che gli utenti possano utilizzare altri dns (che magari si impostano sulla loro scheda di rete).
    Potrei tramite policy, ma non ho tutte le macchine a dominio, e alcune hanno necessità di utenza amministrativa a causa di alcuni software non girano.

    Per tanto, mi servirebbe una regola o un modo che, sul pfsense e in particolare sulla lan dedicata al cliente del caso, vengano accettate le richieste dns con destinazione SOLO ai dns pubblici di opendns, e bloccate tutte le altre (tipo 8.8.4.4 o 8.8.8.8, per fare un esempio)

    E' possibile?

    Vi ringrazio



  • Fai una regola che blocca verso internet, la porta 53 sia tcp che udp, e che permetta solo verso gli ip che ti interessano.
    Altrimenti, attiva il dns resolver di pfsense, che verrà usato come cache, poi fai puntare i dns dei tuoi client, verso pfsense e con la regola di cui sopra, blocchi la porta 53 verso tutti, senza alcuna esclusione.



  • @sisko212:

    Fai una regola che blocca verso internet, la porta 53 sia tcp che udp, e che permetta solo verso gli ip che ti interessano.
    Altrimenti, attiva il dns resolver di pfsense, che verrà usato come cache, poi fai puntare i dns dei tuoi client, verso pfsense e con la regola di cui sopra, blocchi la porta 53 verso tutti, senza alcuna esclusione.

    non ho capito però l'utilità del dns resolver di pfsense.
    Mentre, per la regola, mi sembra ovvia…. non ci avevo pensato!



  • L'utilià era per avere un dns nella rete locale, a cui sia permesso andare fuori su internet, ma evitare che lo facciano i client.
    Se lavori solo con le regole firewall, devi fare in modo che Lan e Vlan siano bloccate verso Wan porta 53, esclusi gli ip che ti interessano.
    Mentre col dns resolver, la regola è più semplice, perchè blocchi tutto verso wan a prescindere.
    Il resolver, girando in pfsense, però può andare verso wan e risolvere, oltre che a fare da cache (sempre cosa buona e giusta), sui i dns da te settati.



  • sisko212, grazie per la spiegazione!
    molto interessante davvero!

    Il discorso cache, è cosa buona e giusta perchè diminuirebbe il totale delle richieste verso l'esterno giusto?

    ora però, ti rendo presente la mia configurazione:

    wan      lan
                  vlan1
                  vlan2
                  vlan3
                  vlan4

    il tutto in ambiente virtuale.
    Su la vlan1 è nattato 1:1 un pubblico,
    Su la vlan2 invece ho attivi i dns di opendns (una sorta di servizio che rigiro su richiesta)
    Mentre le altre vlan3 e vlan4 sono totalmente libere, su richiesta del cliente.

    in questo caso, posso implementare lo stesso il dns resolver di pfsense?
    sto guardando un po' le impostazioni, c'è molto da settare, ma basta mettercisi un po', magari con un pfsense di test.



  • @cybermod:

    Il discorso cache, è cosa buona e giusta perchè diminuirebbe il totale delle richieste verso l'esterno giusto?

    Esatto… te ne rendi conto quando fai un "dig" o nslookup, che ti indica anche il tempo di risoluzione. La prima volta che risolvi ci mette tot msec... supponiamo 30-40 msec, se poi rifai il dig dello stesso dominio, da un altro client, il tempo di risoluzione scende ai 2-3 msec canonici perchè ce l'hai sul dns resolver in rete locale.

    @cybermod:

    in questo caso, posso implementare lo stesso il dns resolver di pfsense?

    si, puoi farci quello che voi… è comunque uno dei tanti servizi di pfsense, e quindi come tale, il fatto di renderlo disponibile a questa o quella lan o vlan, dipende sempre dalle regole che imposti.



  • ho dato una guarda in giro, ho cercato qualche buona guida ma non ho trovato granchè.
    https://forum.pfsense.org/index.php?topic=85210.0 qui qualcosa, ma faccio fatica a comprendere tutto causa inglese (ma ci sto lavorando  ;) )

    ho però delle remore per quanto riguarda la parte delle vpn. Ne ho in gestione alcune tramite ipsec lan to lan, altre tramite server openvpn.

    Poi, per varie esigenze, ho attivo l'outbound in manuale, poi ho alias e nat 1:1. Non vado ad "incasinare" qualcosa?

    posso fare delle prove in ambiente di produzione, ma tirare su l'esatta configurazione con vpn e client openvpn attaccati, è un po' duretta