У меня есть pfSense с внешним IP-адресом, на котором работает Unbound DNS Resolver. Когда я отправляю запрос из внутренней сети, он отвечает, но когда я отправляю запрос с внешнего компьютера, он не отвечает.
Внутренний:
nslookup mydomain.com 192.168.1.1
Внешний:
nslookup mydomain.com external_ip
DNS request time out.
DNS Resolver прослушивает все интерфейсы.
Вы не хотите, чтобы он разрешал внешний поиск DNS. Встроенный DNS Forwarder и Resolver предназначены исключительно для обеспечения разрешения имен для ваших внутренних компьютеров. Если вам нужен общедоступный сервер имен, используйте что-то, что предназначено для использования в качестве общедоступного сервера имен. Пакет BIND, если вы должны запустить его на брандмауэре, лучше всего использовать поставщика услуг или что-то еще на отдельном сервере.
Ваше примечание к другому комментарию о том, что вы переключились на DNS Forwarder и открыли его для всего Интернета, означает, что это всего лишь вопрос часов, когда вас будут использовать как часть отраженной DDoS-атаки с усилением DNS, потому что вы открыли рекурсивный DNS-преобразователь для мир. Удалите это правило из WAN, чтобы никто из Интернета не мог получить доступ к порту 53. И вам лучше переключиться обратно на Resolver, несвязанные ответы с «запросом отклонены» по уважительной причине - его встроенные возможности ACL помогают гарантировать, что вы не может стать уязвимым для лавинного мусорного трафика в рамках DDoS-атак.
Гарантировать, что Сетевые интерфейсы установлен на Все в Сервисы > DNS-преобразователь
Затем добавьте правило, подобное приведенному ниже, в Брандмауэр > Правила > Ван: