pfSense : Blocking DNS queries

maandag 29 juni 2015 19:42

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Hoi,

ik krijg het volgende niet werkend in pfSense, namenlijk het blokkeren van DNS servers, op zichzelf na (127.0.0.1).
Dit artikel heb ik gevolgd, zonder succes ( = alternatieve DNS servers blijven functioneren).
Tevens heb ik dit artikel ook geprobeerd.
Ik snap wel waarom het niet werkt, omdat de DNS blocking regels bovenaan staan en eronder twee (default) allow all staan (in LAN gedeelte).
Die twee default regels heeft pfSense zelf aangemaakt om toegang naar buiten mogelijk te maken.
Dus het screenshot heeft vier regels ipv twee.

Hoe krijg ik dit werkend ?

maandag 29 juni 2015 19:52

Acties:

0 Henk 'm!

Thralas

EverLast2002 schreef op maandag 29 juni 2015 @ 19:42:
Ik snap wel waarom het niet werkt, omdat de DNS blocking regels bovenaan staan en eronder twee (default) allow all staan (in LAN gedeelte).
Die twee default regels heeft pfSense zelf aangemaakt om toegang naar buiten mogelijk te maken.

Ik snap het niet, maar ik ken pfSense dan ook niet. Als je snapt waarom het niet werkt mis ik een beetje waarom je niet tot een oplossing weet te komen.

Heb je Firewall Rule Processing Order gelezen? Lijkt me relevant als je suggereert dat de verkeerde regels matchen.

Dus het screenshot heeft vier regels ipv twee.

Dat kan duidelijker. Effectief zeg je nu 'ik heb deze twee guides gevolgd maar het werkt niet'.

Lijkt me toch handig als je even laat zien hoe het er nu precies uitziet, want die guides lijken me inderdaad wel juist.

maandag 29 juni 2015 20:01

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Wanneer ik letterlijk die twee artikels volg, werkt het blocken van alternatieve DNS servers niet.
Ook niet wanneer ik de rules omhoog/omlaag plaats qua volgorde (pfSense werkt van top to bottom).

De vier rules die er komen te staan in het LAN gedeelte :
1.Default allow LAN to any rule (IPv4)
2.Default allow LAN IPv6 to any rule
en deze twee:
Afbeeldingslocatie: https://doc.pfsense.org/images/a/ac/Blockdns.png

Afbeeldingslocatie: https://doc.pfsense.org/images/a/ac/Blockdns.png

[ Voor 16% gewijzigd door EverLast2002 op 29-06-2015 20:02 ]

maandag 29 juni 2015 20:20

Acties:

0 Henk 'm!

Jeroen_ae92

De "Allow DNS to pfsense" moet op 1 staan, de "Block DNS" op 2. Daarna pas de twee regels "Default allow lan to any"

De regels worden van boven naar beneden verwerkt. Als een rule gehit wordt gebruikt ie de regels van die rule. Pas als er geen regels worden gehit, dan doet ie de ingestelde default.

[ Voor 0% gewijzigd door Jeroen_ae92 op 29-06-2015 20:20 . Reden: typo ]

U+

maandag 29 juni 2015 20:27

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Jeroen_ae92 schreef op maandag 29 juni 2015 @ 20:20:
De "Allow DNS to pfsense" moet op 1 staan, de "Block DNS" op 2. Daarna pas de twee regels "Default allow lan to any"

Als ik dat op die manier instel (zoals het artikel), dan kom ik niet meer op internet....

maandag 29 juni 2015 20:52

Acties:

0 Henk 'm!

Jeroen_ae92

Dan zou je haast zeggen dat het werkt... Wat heb je zelf als DNS server ingesteld?

U+

maandag 29 juni 2015 21:00

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

In pfSense (General Setup) staan twee OpenDNS servers.
Daarbij die settings uit het artikel ingevoerd. pfSense draait DNSMASQ en is dus DNS server.

Op een client in het netwerk staat het IP adres van pfSense als zijnde DNS (en Gateway) ingesteld.
Maar verander ik op de client de DNS naar 8.8.8.8 dan kan ik nog steeds op internet, dus die blocking rule werkt niet.

maandag 29 juni 2015 21:05

Acties:

0 Henk 'm!

plizz

Volgens mij moet je destination address je allow DNS server IP address staan en niet LAN address. Probeer dat eens. Anders block pfsence je DNS verkeer naar public google DNS.

maandag 29 juni 2015 21:11

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

plizz schreef op maandag 29 juni 2015 @ 21:05:
Volgens mij moet je destination address je allow DNS server IP address staan en niet LAN address. Probeer dat eens. Anders block pfsence je DNS verkeer naar public google DNS.

Het screenshot klopt volgens mij niet helemaal (afkomstig van website pfSense zelf).
In mijn config staat 127.0.0.1 ( = pfSense).

maandag 29 juni 2015 21:13

Acties:

0 Henk 'm!

plizz

Kan je dan jouw screen plaatsen. Dan is het duidelijk hoe je access rules eruit ziet.

maandag 29 juni 2015 21:22

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Afbeeldingslocatie: http://i.imgur.com/pHqx1WG.jpg

Ik heb de block rule uitstaan omdat ik anders niet op internet meer kan komen...
(om te testen zet ik hem dus AAN).

[ Voor 55% gewijzigd door EverLast2002 op 29-06-2015 21:23 ]

maandag 29 juni 2015 21:30

Acties:

0 Henk 'm!

Jeroen_ae92

Vul ipv 127.0.0.1 eens het router adres eens.

U+

maandag 29 juni 2015 21:30

Acties:

0 Henk 'm!

plizz

Je tweede rule, block any DNS is disabled. Het is wat me opvalt. Want nu match alle DNS verkeer op rule 3.

maandag 29 juni 2015 21:32

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Jeroen_ae92 schreef op maandag 29 juni 2015 @ 21:30:
Vul ipv 127.0.0.1 eens het router adres eens.

127.0.0.1 of het 192.168.x.x adres invullen maakt niks uit (reeds geprobeerd)

maandag 29 juni 2015 22:13

Acties:

0 Henk 'm!

Jeroen_ae92

En de block rule, kun je daar een =not toevoegen? Dus block all but locallan?
Zoals hier bv beschreven

[ Voor 36% gewijzigd door Jeroen_ae92 op 29-06-2015 22:17 ]

U+

maandag 29 juni 2015 23:09

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Volgens mij staat die NOT optie aangevinkt/aan.
Ik zal morgen even kijken.

dinsdag 30 juni 2015 01:21

Acties:

0 Henk 'm!

PerfectPC

EverLast2002 schreef op maandag 29 juni 2015 @ 20:27:
[...]

Als ik dat op die manier instel (zoals het artikel), dan kom ik niet meer op internet....

Ja logisch he

je moet je dns server toelaten naar het internet...
Dus:
1) allow lan -> pfsense
2) allow pfsense -> internet
3) block all dns
4) allow all
O ja, en 127/8 hoort niet thuis in een fw rule

dinsdag 30 juni 2015 01:47

Acties:

0 Henk 'm!

Brabix

Daarnaast heb je bij de redirect rule als source * staan. Dat wil volgens mij zeggen dat de dns requeste die pfsense doet ook worden geredirect naar zichzelf.

Ik zou daar even source lan van maken om dat te testen.

dinsdag 30 juni 2015 12:00

Acties:

0 Henk 'm!

EverLast2002

Topicstarter

Ik ben eruit, het werkt.
Waar ik achter ben gekomen is dat de combinatie van een NAT: Port Forward rule + Firewall rules (zoals in de twee artikelen beschreven) geen effect hebben.
Ik heb de NAT: Port Forward rule verwijderd en alleen Firewall rules aangemaakt.

plaatje:

Afbeeldingslocatie: http://i.imgur.com/0bZHAeb.jpg

Afbeeldingslocatie: http://i.imgur.com/0bZHAeb.jpg

[ Voor 8% gewijzigd door EverLast2002 op 30-06-2015 12:00 ]

Onderwerpen