Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloccare richieste dns provenienti da altri ip, in caso di cambio dell'utente

    Scheduled Pinned Locked Moved Italiano
    7 Posts 2 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cybermod
      last edited by

      buongiorno,

      tramite il mio pfsense gestisco più sotto reti, attraverso le interfacce logiche.

      Ora devo inserire i dns di opendns (con il content filter) ed evitare che gli utenti possano utilizzare altri dns (che magari si impostano sulla loro scheda di rete).
      Potrei tramite policy, ma non ho tutte le macchine a dominio, e alcune hanno necessità di utenza amministrativa a causa di alcuni software non girano.

      Per tanto, mi servirebbe una regola o un modo che, sul pfsense e in particolare sulla lan dedicata al cliente del caso, vengano accettate le richieste dns con destinazione SOLO ai dns pubblici di opendns, e bloccate tutte le altre (tipo 8.8.4.4 o 8.8.8.8, per fare un esempio)

      E' possibile?

      Vi ringrazio

      1 Reply Last reply Reply Quote 0
      • S
        sisko212
        last edited by

        Fai una regola che blocca verso internet, la porta 53 sia tcp che udp, e che permetta solo verso gli ip che ti interessano.
        Altrimenti, attiva il dns resolver di pfsense, che verrà usato come cache, poi fai puntare i dns dei tuoi client, verso pfsense e con la regola di cui sopra, blocchi la porta 53 verso tutti, senza alcuna esclusione.

        1 Reply Last reply Reply Quote 0
        • C
          cybermod
          last edited by

          @sisko212:

          Fai una regola che blocca verso internet, la porta 53 sia tcp che udp, e che permetta solo verso gli ip che ti interessano.
          Altrimenti, attiva il dns resolver di pfsense, che verrà usato come cache, poi fai puntare i dns dei tuoi client, verso pfsense e con la regola di cui sopra, blocchi la porta 53 verso tutti, senza alcuna esclusione.

          non ho capito però l'utilità del dns resolver di pfsense.
          Mentre, per la regola, mi sembra ovvia…. non ci avevo pensato!

          1 Reply Last reply Reply Quote 0
          • S
            sisko212
            last edited by

            L'utilià era per avere un dns nella rete locale, a cui sia permesso andare fuori su internet, ma evitare che lo facciano i client.
            Se lavori solo con le regole firewall, devi fare in modo che Lan e Vlan siano bloccate verso Wan porta 53, esclusi gli ip che ti interessano.
            Mentre col dns resolver, la regola è più semplice, perchè blocchi tutto verso wan a prescindere.
            Il resolver, girando in pfsense, però può andare verso wan e risolvere, oltre che a fare da cache (sempre cosa buona e giusta), sui i dns da te settati.

            1 Reply Last reply Reply Quote 0
            • C
              cybermod
              last edited by

              sisko212, grazie per la spiegazione!
              molto interessante davvero!

              Il discorso cache, è cosa buona e giusta perchè diminuirebbe il totale delle richieste verso l'esterno giusto?

              ora però, ti rendo presente la mia configurazione:

              wan      lan
                            vlan1
                            vlan2
                            vlan3
                            vlan4

              il tutto in ambiente virtuale.
              Su la vlan1 è nattato 1:1 un pubblico,
              Su la vlan2 invece ho attivi i dns di opendns (una sorta di servizio che rigiro su richiesta)
              Mentre le altre vlan3 e vlan4 sono totalmente libere, su richiesta del cliente.

              in questo caso, posso implementare lo stesso il dns resolver di pfsense?
              sto guardando un po' le impostazioni, c'è molto da settare, ma basta mettercisi un po', magari con un pfsense di test.

              1 Reply Last reply Reply Quote 0
              • S
                sisko212
                last edited by

                @cybermod:

                Il discorso cache, è cosa buona e giusta perchè diminuirebbe il totale delle richieste verso l'esterno giusto?

                Esatto… te ne rendi conto quando fai un "dig" o nslookup, che ti indica anche il tempo di risoluzione. La prima volta che risolvi ci mette tot msec... supponiamo 30-40 msec, se poi rifai il dig dello stesso dominio, da un altro client, il tempo di risoluzione scende ai 2-3 msec canonici perchè ce l'hai sul dns resolver in rete locale.

                @cybermod:

                in questo caso, posso implementare lo stesso il dns resolver di pfsense?

                si, puoi farci quello che voi… è comunque uno dei tanti servizi di pfsense, e quindi come tale, il fatto di renderlo disponibile a questa o quella lan o vlan, dipende sempre dalle regole che imposti.

                1 Reply Last reply Reply Quote 0
                • C
                  cybermod
                  last edited by

                  ho dato una guarda in giro, ho cercato qualche buona guida ma non ho trovato granchè.
                  https://forum.pfsense.org/index.php?topic=85210.0 qui qualcosa, ma faccio fatica a comprendere tutto causa inglese (ma ci sto lavorando  ;) )

                  ho però delle remore per quanto riguarda la parte delle vpn. Ne ho in gestione alcune tramite ipsec lan to lan, altre tramite server openvpn.

                  Poi, per varie esigenze, ho attivo l'outbound in manuale, poi ho alias e nat 1:1. Non vado ad "incasinare" qualcosa?

                  posso fare delle prove in ambiente di produzione, ma tirare su l'esatta configurazione con vpn e client openvpn attaccati, è un po' duretta

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.