Назад | Перейти на главную страницу

pfSense не пересылает DNS на соответствующий VPS

Мы запускаем гипервизор Xenserver, и я создал 5 виртуальных машин и 1 виртуальную машину для pfSense, поэтому все виртуальные машины находятся в диапазоне 172.16.0.0/24, подключенных к интерфейсу локальной сети pfSenese. pfSense имеет два интерфейса: LAN (172.16.0.100 в качестве шлюза для всех виртуальных машин) и WAN с Failover_IP (общедоступный IP-адрес).

Я зарегистрировал домены с нашим Failover_IP (общедоступный IP), и все они пингуются. Один из наших доменов - chineesmetal.com. Этот домен находится на одном из наших VPS с именем хоста OracleLinux1.Onlinenics.net

Теперь я попробовал в pfSense следующим образом:

  1. Сервисы => DNS Forwarder
  2. Выбранный вариант Enable DNS forwarder & Register DHCP leases in DNS forwarder
  3. Services => DNS Forwarder => Advanced => address = / coldrol.com / 172.16.0.1
  4. Services => DNS Forwarder => Host Overrides и сделал следующее: но не пересылка со следующей ошибкой, когда я открываю chineesmetal.com в браузере:

Potential DNS Rebind attack detected, see http://en.wikipedia.org/wiki/DNS_rebinding Try accessing the router by IP address instead of by hostname.

Я только что удалил BIND из pfSense и просто перенаправил порт 53 (DNS) на соответствующий VPS, и все домены на резервном IP-адресе начали работать, но мой вопрос в том, что это для одного vps на одном конкретном IP-адресе, он работает, но как pfSense распознает другие домены vps, а порты одинаковы на каждом сервере, например порт 80, 8443, 25, 587110 и т. д.

Как настроить pfSense в этом случае?

пожалуйста, порекомендуйте

Эта проблема очень хорошо задокументирована в Pfsense с временным решением: Защита от повторной привязки DNS

Сервер пересылки DNS (dnsmasq) использует опцию --stop-dns-rebind по умолчанию, который отклоняет и регистрирует адреса с вышестоящих серверов имен, которые находятся в частных диапазонах IP. Чаще всего это фильтрация ответов DNS, полученных из Интернета, для предотвращения атак повторного связывания DNS. Ответы DNS в Интернете никогда не должны возвращаться с частным IP-адресом, поэтому безопаснее всего его заблокировать.

В некоторых случаях общедоступные DNS-серверы по умолчанию получают ответы на частные IP-адреса, хотя это не рекомендуется. В таких случаях повторное связывание DNS можно отключить или переопределить в Расширенные настройки DNS Forwarder коробка следующим образом:

rebind-domain-ok=/mydomain.com/

Обратите внимание, что это автоматически переопределяется для доменов в списке переопределения домена DNS-сервера пересылки, поскольку наиболее частым использованием этой функции является разрешение внутренних имен хостов DNS.