Я нахожусь в процессе настройки pfSense в качестве брандмауэра / маршрутизатора.Я хочу, чтобы он запускал DNS Resolver, чтобы я мог использовать pfblockerng.
Я настроил 2 общедоступных DNS-сервера, используя шлюз по умолчанию для выхода.DNS Resolver настроен в режиме пересылки.
В конце концов, я настрою исходящий VPN, и весь другой трафик, идущий на маршрутизатор DSL, будет заблокирован.VPN отключен?Нет интернета, нет DNS, ничего.
В моих запросах (tcpdump на моем интернет-маршрутизаторе) я вижу, что мое внутреннее доменное имя добавляется к запросам, даже допустимым, которые разрешаются нормально.
Пример,из pfsense DNS check (меню диагностики) я набираю google.com и вижу это:
12:40:48.255156 IP (tos 0x0, ttl 64, id 30637, offset 0, flags [none], proto UDP (17), length 45)
192.168.1.1.49038 > 84.200.69.80.53: [udp sum ok] 60481+ NS? . (17)
12:40:48.284198 IP (tos 0x0, ttl 64, id 8247, offset 0, flags [none], proto UDP (17), length 45)
192.168.1.1.4642 > 84.200.70.40.53: [udp sum ok] 52602+ NS? . (17)
12:40:48.313250 IP (tos 0x0, ttl 64, id 15226, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.17078 > 84.200.69.80.53: [udp sum ok] 51473+ [1au] A? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.341439 IP (tos 0x0, ttl 64, id 24297, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.60070 > 84.200.69.80.53: [udp sum ok] 41295+ [1au] AAAA? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.368481 IP (tos 0x0, ttl 64, id 17792, offset 0, flags [none], proto UDP (17), length 67)
192.168.1.1.7038 > 84.200.70.40.53: [udp sum ok] 38162+ [1au] CNAME? google.com. ar: . OPT UDPsize=4096 OK (39)
12:40:48.404360 IP (tos 0x0, ttl 64, id 37382, offset 0, flags [none], proto UDP (17), length 81)
192.168.1.1.13371 > 84.200.69.80.53: [udp sum ok] 3273+ CNAME? google.com.internal.mydomain.com. (53)
"mydomain.com" - это зарегистрированный домен под моим контролем, общедоступный.Я зарегистрировался и использую internal.mydomain.com исключительно в своей локальной сети.
В конце концов, pfsense также должен использовать DHCP, и я хочу разрешить хосты локальной сети в * .internal.mydomain.com.
По сути, я никогда не хочу, чтобы "internal.mydomain.com" добавлялся в публичные запросы.Фактически, он никогда не должен добавляться ни к какому запросу.Могу ли я отключить эту «функцию»?Кто хочет добавлять суффиксы локальных доменов к DNS-запросам, заканчивающимся на допустимый TLD?Добавьте его к запросу "johns-pc" или "hplaserjetii", но не к "google.com".
Во-вторых, pfsense / unbound должен хранить запросы для .internal.mydomain.com "к себе,никогда не отправляйте его, поскольку это только локальные хосты в локальной сети, для которых он предоставляет DHCP. Однако другие запросы для * .mydomain.com должны выполняться, только исключите "internal.mydomain.com".
WhoМожете ли вы помочь мне настроить это правильно?
Большое спасибо заранее!