pfSense leitet DNS nicht an den betroffenen VPS weiter

7

Wir verwenden Xenserver Hyper-Visor und ich habe 5 VMs und 1 VM für pfSense erstellt, sodass alle VMs im Bereich 172.16.0.0/24 an der pfSenese LAN-Schnittstelle angeschlossen sind. pfSense verfügt über zwei Schnittstellen: LAN (172.16.0.100 als Gateway für alle VMs) und WAN mit Failover_IP (öffentliche IP).

Ich habe Domains mit unserer Failover_IP (öffentliche IP) registriert und alle pingen. Eine unserer Domains ist chineesmetal.com. Diese Domain befindet sich auf unserer VPS mit dem HostnamenOracleLinux1.Onlinenics.net

Jetzt habe ich in pfSense Folgendes versucht:

  1. Dienste => DNS-Weiterleitung
  2. Aktivierte Option Enable DNS forwarder&Register DHCP leases in DNS forwarder
  3. Dienste => DNS-Weiterleitung => Erweitert => Adresse = / coldrol.com / 172.16.0.1
  4. Dienste => DNS- Geben Sie hier die Bildbeschreibung ein Weiterleitung => Host überschreibt und hat Folgendes ausgeführt: jedoch nicht mit folgendem Fehler weitergeleitet, wenn ich im Browser auf chineesmetal.com zugreife:

Potential DNS Rebind attack detected, see http://en.wikipedia.org/wiki/DNS_rebinding Try accessing the router by IP address instead of by hostname.

Ich habe gerade BIND aus pfSense entfernt und einfach Port 53 (DNS) an den betroffenen VPS weitergeleitet, und alle Domänen mit Failover-IP haben funktioniert, aber meine Frage ist, dass dies für einen VPS auf einer bestimmten IP funktioniert, aber wie pfSense andere VPS-Domänen während der Ports erkennt sind auf jedem Server gleich, z. B. Port 80, 8443, 25, 587 110 usw.

Wie konfiguriere ich pfSense in diesem Fall?

Bitte beraten

Ghayel
quelle

Antworten:

5

Dieses Problem ist in Pfsense mit Problemumgehung sehr gut dokumentiert: DNS Rebinding Protections

Der DNS-Forwarder ( dnsmasq) verwendet --stop-dns-rebindstandardmäßig die Option , mit der Adressen von Upstream-Nameservern, die sich in den privaten IP-Bereichen befinden, abgelehnt und protokolliert werden. In der häufigsten Verwendung werden DNS-Antworten aus dem Internet gefiltert, um DNS-Rebinding-Angriffe zu verhindern. Internet-DNS-Antworten sollten niemals mit einer privaten IP-Adresse zurückgegeben werden. Daher ist es am sichersten, diese zu blockieren.

In einigen Fällen haben öffentliche DNS-Server standardmäßig Antworten auf private IP-Adressen, dies wird jedoch nicht empfohlen. In diesen Fällen kann die DNS-Neubindung deaktiviert oder eine Überschreibung in das Feld Erweiterte Einstellungen für DNS-Weiterleitung wie folgt eingefügt werden :

rebind-domain-ok=/mydomain.com/

Beachten Sie, dass dies für Domänen in der Domänenüberschreibungsliste der DNS-Weiterleitung automatisch überschrieben wird, da diese Funktion am häufigsten zum Auflösen interner DNS-Hostnamen verwendet wird.

Diamant
quelle