Forum: PC Hard- und Software OpnSense - Firewall Rule -> alle DNS zu IP


OpnSense - Firewall Rule -> alle DNS zu IP
von Rene K. (xdraconix)

Lesenswert? 

Ich habe eine OpnSense Firewall laufen.

Funktioniert auch soweit wie sie soll. Ich würde gerne eine Firewall 
Regel erstellen, welche zu einer gewissen Uhrzeit sämtliche DNS Anfragen 
zu einer festen IP umleiten.

Aktuell habe ich nach einem Schedule Plan den DNS (port 52) gesperrt. 
Ich möchte jedoch statt einer DNS_PROBE_ERROR im Browser eine Webseite 
im lokalen IP Bereich anzeigen.

Hat das schonmal jemand gemacht? Kann mir jemand ein Hinweis geben?

Beitrag melden Bearbeiten Thread verschieben Thread sperren Anmeldepflicht aktivieren Anpinnen Thread löschen Thread mit anderem zusammenführen Markierten Text zitieren Antwort Antwort mit Zitat
Re: OpnSense - Firewall Rule -> alle DNS zu IP
von Hmmm (hmmm)

Lesenswert? 

Rene K. schrieb:
> DNS (port 52) gesperrt

53.

Rene K. schrieb:
> Ich möchte jedoch statt einer DNS_PROBE_ERROR im Browser eine Webseite
> im lokalen IP Bereich anzeigen.

Das klappt nur bei HTTP, bei HTTPS gibt's eine Zertifikatswarnung.

Rene K. schrieb:
> Hat das schonmal jemand gemacht?

Nicht genau in dieser Form. Du brauchst einen passend antwortenden 
Nameserver. Aber sinnvoll ist Dein Vorhaben nicht.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: OpnSense - Firewall Rule -> alle DNS zu IP
von Gerd E. (robberknight)

Lesenswert? 

Rene K. schrieb:
> Aktuell habe ich nach einem Schedule Plan den DNS (port 52) gesperrt.

Abgesehen von der Portnummer (=53) solltest Du daran denken dass das 
nicht ausreicht um den Dienst dahinter (z.B. HTTP, HTTPS, wasauchimmer) 
zu sperren:

Denn moderne Clients speichern frühere DNS-Anfragen einfach selbst 
zwischen solange sie dürfen (TTL).

Andere Clients verwenden Konstrukte wie DNS-over-HTTPS um DNS-Server 
irgendwo im Internet anzusprechen und sich die DNS-Information von dort 
zu holen. Vielleicht machen sie das nicht standardmäßig, aber wenn der 
Nutzer einen DNS-Fehler bekommt, ist es nicht unwahrscheinlich dass er 
mal probiert die entsprechende Option im Browser zu aktivieren.

Ich würde also statt dem DNS lieber die Ports der eigentlichen Dienste 
dahinter sperren. Das ist deutlich zuverlässiger.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Re: OpnSense - Firewall Rule -> alle DNS zu IP
von Rene K. (xdraconix)

Lesenswert? 

Gerd E. schrieb:
> Abgesehen von der Portnummer (=53) solltest Du daran denken dass das
> nicht ausreicht um den Dienst dahinter (z.B. HTTP, HTTPS, wasauchimmer)
> zu sperren:

Ja tatsächlich hast du Recht. Darüber habe ich mir noch gar keine 
Gedanken gemacht. Teilweise brauchen viele Dienste ja nichtmal ein DNS 
sondern sprechen die Gegenseite direkt per IP an.

Ja ist beseitigt. Der gesamte Traffic ist nun gesperrt.

Ja, war nur so eine Idee... eigentlich ja auch bloß ein "Nice-to-have" 
und "Sweet-to-look". Also nichts wirklich sinnvolles.

Aber auf jeden Fall hat sich der Thread für gelohnt für den Hinweis auf 
Umgehung der DNS Sperre, dank dir Gerd.

Beitrag melden Bearbeiten Löschen Markierten Text zitieren Antwort Antwort mit Zitat
Thread beobachten | Seitenaufteilung abschalten
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.