117471
Feb 07, 2021, updated at Feb 08, 2021 (UTC)
3092
3
0
PfSense: Bug im DNS-Resolver?
Hallo,
im Web-Interface findet sich im DNS-Resolver bei "Domain Overrides" folgender Hinweistext:
Das ist (zumindest bei der 2.4.5-RELEASE-p1) eine unwahre Aussage. Trägt man z.B. einen Hintserver für "test" ein, können dessen Hostnamen nicht von den Clients über Port 53 abgefragt werden. Auch dann nicht, wenn man die Rebind Protection für diese Domain deaktiviert.
Auf der Konsole von der pfSense funktioniert das. Obwohl da eigentlich auch der lokale BIND gefragt wird?!?
Gruß,
Jörg
im Web-Interface findet sich im DNS-Resolver bei "Domain Overrides" folgender Hinweistext:
Non-standard, 'invalid' and local domains, and subdomains, can also be entered, such as 'test', 'mycompany.localdomain', '1.168.192.in-addr.arpa', or 'somesite.com'.
Das ist (zumindest bei der 2.4.5-RELEASE-p1) eine unwahre Aussage. Trägt man z.B. einen Hintserver für "test" ein, können dessen Hostnamen nicht von den Clients über Port 53 abgefragt werden. Auch dann nicht, wenn man die Rebind Protection für diese Domain deaktiviert.
Auf der Konsole von der pfSense funktioniert das. Obwohl da eigentlich auch der lokale BIND gefragt wird?!?
Gruß,
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 649513
Url: https://administrator.de/contentid/649513
Printed on: April 24, 2024 at 06:04 o'clock
3 Comments
Latest comment
Moin,
mit dem Feature habe ich auch länger herum gespielt.
Bei mir hat es funktioniert anstatt "Domäne.de" für den override nur die TDL anzugeben. In dem schlechten Beispiel "de".
Es funktionieren tatsächlich sogar mehrere Einträge. In meinem Fall zwei DCs.
Das ganze klappt anscheinend nur mit der TDL.
Bei mir läuft die selbe Release Version. Möglicherweise habe ich die Dokumentation aber auch nicht richtig verstanden.
Gruß
Spirit
mit dem Feature habe ich auch länger herum gespielt.
Bei mir hat es funktioniert anstatt "Domäne.de" für den override nur die TDL anzugeben. In dem schlechten Beispiel "de".
Es funktionieren tatsächlich sogar mehrere Einträge. In meinem Fall zwei DCs.
Das ganze klappt anscheinend nur mit der TDL.
Bei mir läuft die selbe Release Version. Möglicherweise habe ich die Dokumentation aber auch nicht richtig verstanden.
Gruß
Spirit
Hallo,
als TLD hatte ich wie gesagt test angegeben. Mit einer anderen TLD klappt es bei ansonsten unveränderter Konfiguration.
Die reverse Auflösung hat übrigens problemlos funktioniert
Gruß,
Jörg
als TLD hatte ich wie gesagt test angegeben. Mit einer anderen TLD klappt es bei ansonsten unveränderter Konfiguration.
Die reverse Auflösung hat übrigens problemlos funktioniert
Gruß,
Jörg
Wenn dein nachgelagerter DNS Server "test" hält und es nicht funktioniert, ist dass tatsächlich merkwürdig.
In meinem Fall war die einzige Option meine ausgedachte TDL zu nutzen. Andere Varianten, wie in der Info beschrieben, habe ich gar nicht zum override bewegen können.
Ich bin bisher davon ausgegangen, dass die Sense selbst den Resolver nutzt sobald Unbound im Einsatz ist. Laut der Konfiguration lässt sich dieses Verhalten nur mit dem Forwarder beeinflussen wenn unter "System - General Setup" der Punkt "Disable DNS Forwarder" gesetzt ist.
In meinem Fall war die einzige Option meine ausgedachte TDL zu nutzen. Andere Varianten, wie in der Info beschrieben, habe ich gar nicht zum override bewegen können.
Ich bin bisher davon ausgegangen, dass die Sense selbst den Resolver nutzt sobald Unbound im Einsatz ist. Laut der Konfiguration lässt sich dieses Verhalten nur mit dem Forwarder beeinflussen wenn unter "System - General Setup" der Punkt "Disable DNS Forwarder" gesetzt ist.
