форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
Сообщение от rader90 (ok) on 06-Окт-15, 15:21
Вроде по tcpdump норм ответ идет, а вот у остальных кто подключается шлак. Tcpdump на шлюзе: IP 192.168.1.22.54379 > 8.8.8.8.53: 31031+ A? crl.microsoft.com. (35) IP 192.168.1.1.53 > 192.168.1.22.54379: 31031 4/13/8 CNAME crl.www.ms.akadns.net., CNAME a1363.dscg.akamai.net., A 88.221.132.166, A 88.221.132.175 (507) На простом компе: C:\Users\Admin>nslookup dbcom.ru DNS request timed out. timeout was 2 seconds. TхЁтхЁ: UnKnown Address: 8.8.8.8 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Превышено время ожидания запроса UnKnown C:\Users\Admin> Правило в ipfw: ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что...
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
Сообщение от Павел Самсонов on 06-Окт-15, 17:32
>[оверквотинг удален] > timeout was 2 seconds. > DNS request timed out. > timeout was 2 seconds. > *** Превышено время ожидания запроса UnKnown > C:\Users\Admin> > Правило в ipfw: > ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 > ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 > Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как > сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... 1.22 обращается на 8.8.8.8 а ответ в это соединение получает от 1.1. Как так?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от Павел Самсонов on 06-Окт-15, 17:39
	>[оверквотинг удален] >> timeout was 2 seconds. >> *** Превышено время ожидания запроса UnKnown >> C:\Users\Admin> >> Правило в ipfw: >> ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 >> ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 >> Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как >> сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... > 1.22 обращается на 8.8.8.8 а ответ в это соединение получает от 1.1. > Как так? Наверное по вашей задумке клиент должен быть настроен на днс 192.168.1.1
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	12. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от eRIC (ok) on 07-Окт-15, 12:04
	> Наверное по вашей задумке клиент должен быть настроен на днс 192.168.1.1 видимо автор не хочет по всем компам пробежаться и указать правильные ДНС адреса, и хочет все на шлюзе замутить
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	3. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от rader90 (ok) on 06-Окт-15, 17:45
	>[оверквотинг удален] >> timeout was 2 seconds. >> *** Превышено время ожидания запроса UnKnown >> C:\Users\Admin> >> Правило в ipfw: >> ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 >> ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 >> Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как >> сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... > 1.22 обращается на 8.8.8.8 а ответ в это соединение получает от 1.1. > Как так? Вот это и хочу сделать. Ответ не от 192.168.1.1, а от 8.8.8.8. Соответственно пустить все  DNS запросы только на сервер локальной сети. Вместо 8.8.8.8 может быть обращение к любому другому DNS серверу. И это перенаправление запросов хотелось сделать через ipfw.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от Павел Самсонов on 06-Окт-15, 17:55
	>[оверквотинг удален] >>> ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 >>> ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 >>> Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как >>> сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... >> 1.22 обращается на 8.8.8.8 а ответ в это соединение получает от 1.1. >> Как так? > Вот это и хочу сделать. Ответ не от 192.168.1.1, а от 8.8.8.8. > Соответственно пустить все  DNS запросы только на сервер локальной сети. > Вместо 8.8.8.8 может быть обращение к любому другому DNS серверу. И > это перенаправление запросов хотелось сделать через ipfw. Не знаю зачем такое. Если вписывают что то другое в настройки, просто пусть неработает и все.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
Сообщение от Square1 on 06-Окт-15, 18:21
>[оверквотинг удален] > timeout was 2 seconds. > DNS request timed out. > timeout was 2 seconds. > *** Превышено время ожидания запроса UnKnown > C:\Users\Admin> > Правило в ipfw: > ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 > ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 > Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как > сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... Читайте про подмену днс. Но вообще говоря, идеи порой  в голову горе-админов приходят страшные... :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от Павел Самсонов on 06-Окт-15, 18:24
	>[оверквотинг удален] >> timeout was 2 seconds. >> *** Превышено время ожидания запроса UnKnown >> C:\Users\Admin> >> Правило в ipfw: >> ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 >> ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 >> Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как >> сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... > Читайте про подмену днс. Но вообще говоря, идеи порой  в голову > горе-админов приходят страшные... :) Я не знаю про горе админов...  на линуксе эту хотелку сделать пот из ноздрей. Я такого не делаю.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+1 +/–
	Сообщение от Square1 on 06-Окт-15, 18:38
	>[оверквотинг удален] >>> C:\Users\Admin> >>> Правило в ipfw: >>> ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 >>> ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 >>> Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как >>> сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... >> Читайте про подмену днс. Но вообще говоря, идеи порой  в голову >> горе-админов приходят страшные... :) > Я не знаю про горе админов...  на линуксе эту хотелку сделать > пот из ноздрей. Я такого не делаю. Теория (с картинками :) http://citforum.ru/internet/attack/c43.shtml Практика (на линуксе :) https://evilzone.org/projects-and-discussion/dnsinjector-dns...-(c)/ Но как я уже сказал- идеи в голову горе-админов приходят страшные :) Зачем это делать в своей сети, если можно просто выдать днс клиенту вместе с локальным адресом- решительно непонятно...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от Павел Самсонов on 06-Окт-15, 18:50
	>[оверквотинг удален] >>>> сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... >>> Читайте про подмену днс. Но вообще говоря, идеи порой  в голову >>> горе-админов приходят страшные... :) >> Я не знаю про горе админов...  на линуксе эту хотелку сделать >> пот из ноздрей. Я такого не делаю. > Теория (с картинками :) > http://citforum.ru/internet/attack/c43.shtml > Практика (на линуксе :) > https://evilzone.org/projects-and-discussion/dnsinjector-dns...-(c)/ > Но как я уже сказал- идеи в голову горе-админов приходят страшные :) Ладно вам, с этими ссылками, это все мозговая капуста которую не стоит читать. Практика на линуксе у этого инжектора слушать в коммутаторе не бродкасты, кому он это пишет, в коммутаторе арп спуффинг уж давно не работает на практике. Перестаньте и не верьте в это!!! > Зачем это делать в своей сети, если можно просто выдать днс клиенту > вместе с локальным адресом- решительно непонятно...
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от rader90 (ok) on 06-Окт-15, 19:49
	>[оверквотинг удален] >> http://citforum.ru/internet/attack/c43.shtml >> Практика (на линуксе :) >> https://evilzone.org/projects-and-discussion/dnsinjector-dns...-(c)/ >> Но как я уже сказал- идеи в голову горе-админов приходят страшные :) > Ладно вам, с этими ссылками, это все мозговая капуста которую не стоит > читать. Практика на линуксе у этого инжектора слушать в коммутаторе не > бродкасты, кому он это пишет, в коммутаторе арп спуффинг уж давно > не работает на практике. Перестаньте и не верьте в это!!! >> Зачем это делать в своей сети, если можно просто выдать днс клиенту >> вместе с локальным адресом- решительно непонятно... Из выше сказано хотелось сделать акцент на ipfw. Возможно такое только средствами данного фаервола(ipfw на "точке" выхода трафика)?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от universite (ok) on 06-Окт-15, 23:13
	>[оверквотинг удален] >>> https://evilzone.org/projects-and-discussion/dnsinjector-dns...-(c)/ >>> Но как я уже сказал- идеи в голову горе-админов приходят страшные :) >> Ладно вам, с этими ссылками, это все мозговая капуста которую не стоит >> читать. Практика на линуксе у этого инжектора слушать в коммутаторе не >> бродкасты, кому он это пишет, в коммутаторе арп спуффинг уж давно >> не работает на практике. Перестаньте и не верьте в это!!! >>> Зачем это делать в своей сети, если можно просто выдать днс клиенту >>> вместе с локальным адресом- решительно непонятно... > Из выше сказано хотелось сделать акцент на ipfw. Возможно такое только средствами > данного фаервола(ipfw на "точке" выхода трафика)? Поднимите локально эти ip(8.8.8.8) на ДНС сервере. При таких заменах могут быть проблемы с DNSSEC.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от rader90 (ok) on 07-Окт-15, 07:50
	>[оверквотинг удален] >>> Ладно вам, с этими ссылками, это все мозговая капуста которую не стоит >>> читать. Практика на линуксе у этого инжектора слушать в коммутаторе не >>> бродкасты, кому он это пишет, в коммутаторе арп спуффинг уж давно >>> не работает на практике. Перестаньте и не верьте в это!!! >>>> Зачем это делать в своей сети, если можно просто выдать днс клиенту >>>> вместе с локальным адресом- решительно непонятно... >> Из выше сказано хотелось сделать акцент на ipfw. Возможно такое только средствами >> данного фаервола(ipfw на "точке" выхода трафика)? > Поднимите локально эти ip(8.8.8.8) на ДНС сервере. > При таких заменах могут быть проблемы с DNSSEC. Там может быть запрос на любой DNS, а нужно пустить все обращения через наши DNS.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+1 +/–
Сообщение от eRIC (ok) on 07-Окт-15, 12:30
> Правило в ipfw: > ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 > ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 никак не получится, хоть крутись и вертись с правилами ipfw... так как у клиентов забит ДНС сервер 8.8.8.8 и вы не хотите никак поменять у всех на правильный ДНС сервер, будь статикой или через DHCP то тут только один выход, поднять на локальном интефейсе вашего локального DNS сервера alias 8.8.8.8. Объясняю почему: потому что клиенты отправляют запросы DNS на 8.8.8.8 и ждут ответа от 8.8.8.8 т.е. в итоге получается: 1- на шлюзе прописывается route add -host 8.8.8.8 192.168.1.1 2- на шлюзе прописывается route add -host 8.8.4.4 192.168.1.1 3- на локальном DNS сервере 192.168.1.1 создается alias 8.8.8.8 на интерфейсе и чтобы DNS программа принимала запросы на 8.8.8.8:53 порту 4- на на последок на шлюзе рубите все коннекты по 53 UDP и TCP не адресованные на следующие DNS сервера (192.168.1.1, 8.8.8.8, 8.8.4.4) для того чтобы не нашлись умники, которые будут прописывать левые DNS сервера. Пропишут левые DNS сервера, у них ничего не будет работать, прибегут сразу же. типа: --- ipfw add allow udp from 192.168.0.0/16 to 192.168.1.1 53 ipfw add allow tcp from 192.168.0.0/16 to 192.168.1.1 53 ipfw add allow udp from 192.168.0.0/16 to 8.8.8.8 53 ipfw add allow tcp from 192.168.0.0/16 to 8.8.8.8 53 ipfw add allow udp from 192.168.0.0/16 to 8.8.4.4 53 ipfw add allow tcp from 192.168.0.0/16 to 8.8.4.4 53 ipfw add deny udp from 192.168.0.0/16 to any 53 ipfw add deny tcp from 192.168.0.0/16 to any 53 ---
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
Сообщение от Hammer (ok) on 08-Окт-15, 01:10
> Правило в ipfw: > ${fwadd} 0004 fwd 192.168.1.1,53 tcp from 192.168.0.0/16 to any 53 via ae0 > ${fwadd} 0005 fwd 192.168.1.1,53 udp from 192.168.0.0/16 to any 53 via ae0 > Перенаправление работает, но ответ не знаю как сделать ответ на запрос. Как > сделать подмену исходящего адресата? Дальше вот упустил, но не знаю что... Потому что запросы с 192.168.1.1 то же попадают под эти правила А вообще, без топологии сети трудно что либо понять. PS  192.168.0.0/16 - это ж полный ППЦ. Сеть класса С с маской класса B. Откуда вы только берётесь, горе-админы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от eRIC (ok) on 08-Окт-15, 07:22
	> PS  192.168.0.0/16 - это ж полный ППЦ. Сеть класса С с > маской класса B. > Откуда вы только берётесь, горе-админы? :) вот такие вот новодмины пошли в 21м веке :)))
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	–1 +/–
	Сообщение от rader90 (ok) on 08-Окт-15, 09:43
	>> PS  192.168.0.0/16 - это ж полный ППЦ. Сеть класса С с >> маской класса B. >> Откуда вы только берётесь, горе-админы? > :) вот такие вот новодмины пошли в 21м веке :))) Все зависит от сети и настройки. Здесь  подсеть любая может быть. В pf мне рекомендовали: table <int_nets_tbl> persist const { $int_if0:network, 255.255.255.255 } ## Intenal networks rdr proto { tcp, udp } from <int_nets_tbl> to !<int_nets_tbl> port 53 -> 172.16.0.254 port 53 # redirect all dns to DNS
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+1 +/–
	Сообщение от eRIC (ok) on 09-Окт-15, 07:53
	> Все зависит от сети и настройки. Здесь  подсеть любая может быть. > В pf мне рекомендовали: > table <int_nets_tbl> persist const { $int_if0:network, 255.255.255.255 } ## Intenal networks > rdr proto { tcp, udp } from <int_nets_tbl> to !<int_nets_tbl> port 53 > -> 172.16.0.254 port 53 # redirect all dns to DNS ну *ть я бы тоже порекомендовал PF, вопрос то стоял на ipfw. попробовал? получилось? в итоге работает у тебя что хотел? и откуда *ть 172.16.0.254 появился когда ты на ipfw все 53 на IP 192.168.1.1 заворачивал?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	19. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от rader90 (ok) on 09-Окт-15, 13:58
	>> Все зависит от сети и настройки. Здесь  подсеть любая может быть. >> В pf мне рекомендовали: >> table <int_nets_tbl> persist const { $int_if0:network, 255.255.255.255 } ## Intenal networks >> rdr proto { tcp, udp } from <int_nets_tbl> to !<int_nets_tbl> port 53 >> -> 172.16.0.254 port 53 # redirect all dns to DNS > ну *ть я бы тоже порекомендовал PF, вопрос то стоял на ipfw. > попробовал? получилось? в итоге работает у тебя что хотел? > и откуда *ть 172.16.0.254 появился когда ты на ipfw все 53 на > IP 192.168.1.1 заворачивал? Да я спрашивал о ipfw, а пример на pf привел.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	17. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от lavr (ok) on 08-Окт-15, 14:39
	>> PS  192.168.0.0/16 - это ж полный ППЦ. Сеть класса С с >> маской класса B. >> Откуда вы только берётесь, горе-админы? > :) вот такие вот новодмины пошли в 21м веке :))) задачи тоже новомодные, "в то время, когда космические корабли", тьфу - все борятся с паразитным трафиком, другие его "перенаправляют" :)
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
Сообщение от toge on 26-Окт-15, 11:12
У меня была ситуация. На клиентах был прописан ДНС 8.8.8.8, потом надумал прикрутить СкайДНС и на сервере просто перенаправить запросы на их ДНС. Решается так #ipfw nat 4 config same_ports reset skip_global \ #                   redirect_port udp $skydns:53 8.8.8.8:53 \ #                   redirect_port tcp $skydns:53 8.8.8.8:53 \ #                   redirect_port udp $skydns:53 8.8.4.4:53 \ #                   redirect_port tcp $skydns:53 8.8.4.4:53 А потом соответсвующие правила на внутреннем и внешнем интерфесах
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	21. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от fantom (ok) on 28-Окт-15, 11:00
	>[оверквотинг удален] > \ > #             >        redirect_port tcp $skydns:53 8.8.8.8:53 > \ > #             >        redirect_port udp $skydns:53 8.8.4.4:53 > \ > #             >        redirect_port tcp $skydns:53 8.8.4.4:53 > А потом соответсвующие правила на внутреннем и внешнем интерфесах Штука сия называется DNAT, именно он и спасет отца русской демократии... Вам не перенаправлять надо, а менять IP назначения на нужный в запрсе, а в ответе менять обратно....
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	22. "Как сконфигурировать IPFW с перенаправлением DNS трафика?"	+/–
	Сообщение от rader90 (ok) on 08-Ноя-15, 09:38
	>[оверквотинг удален] >> \ >> # >>        redirect_port udp $skydns:53 8.8.4.4:53 >> \ >> # >>        redirect_port tcp $skydns:53 8.8.4.4:53 >> А потом соответсвующие правила на внутреннем и внешнем интерфесах > Штука сия называется DNAT, именно он и спасет отца русской демократии... > Вам не перенаправлять надо, а менять IP назначения на нужный в запрсе, > а в ответе менять обратно.... Распишите как правильно сделать для 3 интерфейсов eth0 инет, а остальное eth1, eth2 локальная сеть.  Долго маялся с данной проблемой и так не нашел пока решение. Суть в подмене ip адреса, но как сделать нормальную отправку не знаю. Если вас не затруднит напишите конфиг.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема