pfSense 2.3 防火牆基本設定(四) - DNS Forwarder & DNS Resolver

當區域網路上沒有提供DNS Server供主機名稱解析時,區網內的用戶通常得將DNS server指定成外部ISP提供的DNS以外,在pfSense 2.1版以前可以啟用DNS Forwarder,並將DNS Client上的"DNS Server"指定為pfSense的IP Address,讓pfSense代為轉送DNS query;自pfSense 2.2版以後新增了DNS Resolver並且預設為啟動,因為DNS Resolver與DNS Forwarder提供相同代為轉送DNS query的功能並且同樣使用port 53,因此兩個服務無法同時啟動,除非將其中一個服務改設定到其他的埠編號!相較於DNS Forwarder,DNS Resolver支援Secure DNS驗證及更完整的DNS Cache機制(參考dnsmasq, DNS Forwarder僅快取一般常用的紀錄,(A, AAAA, CNAME and PTR)),也因此自pfSense 2.2以後DNS Resolver預設為啟動。
  1. 選取"Services"下的"DNS Forwarder"
  2. 勾選以下項目
    Enable DNS forwarder說明:啟用DNS轉送
    DHCP Registration說明:將DHCP租賃用戶端註冊到DNS forwarder中
    Static DHCP說明:將DHCP靜態對應註冊到DNS forwarder中
    Prefer DHCP說明:先解譯pfSense上儲存的DHCP對應表
  3. "Listen Port"維持不變,同時"Interface"維持在"All",按下"Save"
  4. pfSense回應因DNS Resolver已啟動,因此Port 53已佔用!
  5. 改選取"Services"下的"DNS Resolver"
  6. 檢查DNS Resolver已經被啟動
  7. 勾選以下三個選項,然後按下"SAVE"
  8. 按下"Apply Changes"
Reference
  • pfSense 2.3 防火牆基本設定(一)
  • pfSense 2.3 防火牆基本設定(二) - DHCP
  • pfSense 2.3 防火牆基本設定(三) - 進階設定
  • pfSense 2.3 防火牆基本設定(四) - DNS Forwarder & DNS Resolver
  • pfSense 2.3 防火牆基本設定(五) - Create Alias and NAT port forward

    • 留言

    張貼留言

    這個網誌中的熱門文章

    pfSense 2.3 防火牆基本設定(五) - Create Alias and NAT port forward

    圖片
    建立防火牆有時不僅僅是為了讓Private LAN上的主機可以對外透過WAN Port連線至Internet,有時也會有需要將Private LAN上主機的Service提供給Internet的Clients連線,像是常見的架設WWW服務等,接下來就針對將微軟Internet Information Server的WWW服務以及遠端桌面服務建立NAT Port Forward進行Step-by-Step的設定與功能測試。 首先我們為這一台預計提供 WWW服務以及遠端桌面服務的主機建立一個別名(Alias), 建立 別名 主要的目的就是為了簡化管理,詳細的說明可參考原廠文件連結。  點選"Firewall"下的"Alias" 填寫以下個欄位,完成以後按下 "SAVE" 按下 "Apply Changes" 接續進行NAT Port Forward的設定: 點選"Firewall"下的"NAT" 點選"Add" 在"Destination port range"中選取"HTTP, 同時在"Redirect target IP"內輸入要被轉送的IP位置,也可使用之前已經定義好的主機別名;在這裡用的就是已經定義好的主機別名。 在"Redirect target port"中選擇"HTTP", Description欄位可以用來填寫說明, 完成後按下"SAVE" 按下 "Apply Changes" 如此便建立好了NAT埠轉送(NAT Port Forward),但實際測試卻會發現無法自模擬的WAN端IP位址(192.168.50.50:80)連接至 LAN(192.168.11.100:80)端位址! 主要的原因是我們所模擬的WAN端位置是屬於 RFC1918 所定義的私有網路,而被RFC1918所定義的網路正常會被pfSense的WAN端的預設規則"Block private network"
    閱讀完整內容

    pfSense 2.3 防火牆基本設定(一)

    圖片
    pfSense 是一套相當普遍的開源軟體防火牆軟體,其功能相當完整,很適合不希望耗費金錢又希望能夠強化 Internet 或是內網通訊安全的個人使用者或是 SOHO 族來使用;首要工作當然要完成軟體安裝,以下將利用虛擬化環境來建立一個實驗性質的 pfSense 防火牆。 前置工作,規劃網路架構並準備以下資訊 WAN IP Address(Default em0): 在此範例將使用 DHCP ( 範例中取得 IP 位置為 ??.??.??.??) LAN IP Address(Default em1): 在此範例將使用 192.168.11.254 Connect to https://www.pfsense.org/download/ 選擇 i386(32-bit) ,再選擇 CD Image 然後按下 Download 註:目前pfSense最新版本是2.4.4(2019/04),並且早已取消32bit版本的下載,僅剩下64bit的版本 目前下載的版本為 2.3.2 ,檔名 : pfSense-CE-2.3.2-RELEASE-i386.iso 在 VMware Workstation 內建立一個 Guest VM ,虛擬硬體規格如下,並在虛擬光碟機內放入剛下載的 ISO 檔 Network Adapter Bridged (Automatic) 模擬 WAN Port Network Adapter 2 Custom (VMnet2) 模擬 LAN Port 啟動 Guest VM ,不需要按任何按鍵,等待進入安裝畫面 按下 < Accept these Settings > 按下 < Quick/Easy Install > 再次確認是否要覆蓋掉 Hard Disk ,確認無誤按下 < OK > 選擇 < Standard Kernel > 安裝最後按下 < Reboot > 安裝完成。 按下 "2" 選擇
    閱讀完整內容