Публичный pfSense не разрешает внешний поиск DNS
У меня есть pfSense с внешним IP-адресом, на котором работает Unbound DNS Resolver. Когда я отправляю запрос из внутренней сети, он отвечает, но когда я отправляю запрос с внешней машины, он не отвечает.
Внутренний:
nslookup mydomain.com 192.168.1.1
Внешние факторы:
nslookup mydomain.com external_ip
DNS request time out.
DNS Resolver прослушивает все интерфейсы.
2 ответа
Убедитесь, что для сетевых интерфейсов установлено значение Все в службах > DNS Resolver.
Затем добавьте правило, подобное приведенному ниже, в " Брандмауэр" > " Правила" > " Wan":
Вы не хотите, чтобы это разрешало внешний поиск DNS. Встроенный DNS Forwarder и Resolver предназначены исключительно для обеспечения разрешения имен для ваших внутренних компьютеров. Если вам нужен общедоступный сервер имен, используйте нечто, предназначенное для публичного сервера имен. Пакет BIND, если вы должны запустить его на брандмауэре, лучше всего использовать поставщика услуг или что-то на отдельном сервере.
Ваше примечание к другому комментарию о том, что вы переключились на DNS-сервер пересылки и открыли его для всего Интернета, означает, что вероятность использования вас в качестве части отраженной атаки DDoS-атак с усилением DNS составляет всего несколько часов, поскольку вы открыли рекурсивный DNS-преобразователь для мир. Уберите это правило из глобальной сети, чтобы никто из Интернета не мог подключиться к порту 53. И вам лучше переключиться обратно на Resolver, Unbound отвечает со словом "запрос отклонен" по уважительной причине - его встроенные возможности ACL помогут вам не может открыть себя для затопления мусорного трафика как часть DDoS.