El vie, 04-03-2016 a las 10:37 -0500, Yoel Villarreal Davila escribió: > El 04/03/2016 a las 8:47, Arian Molina Aguilera escribió: > > El 04/03/16 a las 08:42, Michael González Medina escribió: > >> El 03/03/16 a las 15:19, Arian Molina Aguilera escribió: > >>> El 03/03/16 a las 14:58, Yoel Villarreal Davila escribió: > >>>> Buenas tardes listeros: > >>>> > >>>> Segun recientes hilos de conversacion aca mismo en la lista en > >>>> donde se tocaron temas de pfSense me he decidido a instalarlo y > >>>> probarlo pero la idea es ponerlo en produccion como se dice, > >>>> explotar completamente todo lo que se pueda aprovechar de el.. Mi > >>>> pregunta es: Recomiendan ponerlo como DNS y DHCP ademas de firewall > >>>> ? O es mejor acercamiento el poner un bind detras de el ? Quiero > >>>> saber que tan potente es? Ya he hecho cositas y hasta ahora donde > >>>> me he trabado es que no me resuelve registros dns de otro server > >>>> que esta en mi misma vpn, no me los devuelve, sin embargo desde el > >>>> webconfigurator del mismo pfSense si me los resuelve, o sea desde > >>>> el mismo si me los resuelve pero si le pongo a mi pc el dns del > >>>> pfsense no me da los registros, hay que marcar algo, alguna opcion, > >>>> checkbox? > >>>> > >>>> > >>>> ______________________________________________________________________ > >>>> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > >>>> Gutl-l@jovenclub.cu > >>>> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l > >>> haber, pfsense es un firewall como es sabido, trae muchos servicios > >>> que se pueden activar y usar si los requieres, dhcp es uno de los > >>> servicios potentisimo que trae el mismo ya por defecto no hace falta > >>> agregarle un paquete para esto. el servicio de dns por defecto trae > >>> el paquete que por defecto traen los freebsd modernos el cual se > >>> llama unbound para cache y resoluciones, este puede hacer la > >>> funcionalidad de forward, usando los dns server definidos en la > >>> configuración del pfsense, a demás de el mismo usando > >>> localhost/127.0.0.1, esta funcionalidad suelo deshabilitarla y > >>> agregar el paquete bind9 como servidor de dns, en este se definirían > >>> los server a los cuales le harías forward para determinadas zona y > >>> las externas, igualmente este paquete viene con una interface de > >>> administración como es normal en pfsense, pero me gusta más para > >>> tener un mayor control y configuración del server dns agregar el > >>> paquete bind9 por debajo en consola, con el comando pkg para usarlo > >>> como siempre hemos hecho, el cual puedes configurar a mano y no por > >>> la web que muchas veces te limita un poco. El tema debes revisar > >>> estas consideraciones y determinar la causa de tu problema si > >>> realmente definiste los dns en la configuración del mismo el cual > >>> hace uso por defecto, o deshabilitar el unbound e instalar el > >>> paquete bind9 y configurar el mismo para que hagas lo que quieres > >>> como siempre has hecho igual en un server linux, recordar que debes > >>> crear reglas en la LAN y WAN para permitir a tus clientes consultar > >>> dicho servicio en el pfsense abriendo el puerto 53 TCP/UDP. > >> > >> y mucho ojo al hacer esto(abrir el puerto 53 tcp/udp) y la recursividad, > >> > >> > >>> Sin más coméntanos y explica tus dudas. Salu2. > >>> > >> > >> saludos, > >> > > bueno es abrir el puerto para que puedan hacer consulta, no hable en > > ningún momento que habilitara la recursividad para everybody. Salu2. > > > Ahora que hablas de recirsividad, que es eso ? Que otro server como el > mio por ejemplo no pueda servir como de relay para pedir records en el > dns de arriba de mi hacia estas pc de aqui de mi lan ??? Pudiera ser eso > lo que nos esta pasando ? Que para resolver para el propio pfsense si > resuelve pero para hacer como especie de puente entre mi lan y el dns > del grupo mio no lo tenga permitido ? >
Esto es lo que dice el sitio www.cucert.cu (http://www.cucert.cu/index.php/noticias/1568-ataques-de-denegacion-de-servicios-distribuido-ddos-con-servidores-dns-recursivos) sobre el tema de la recursividad: Publicado: 09 Diciembre 2013 Creado: 01 Agosto 2014 Ataques de denegación de servicios distribuido (DDoS) con servidores DNS recursivos Como resultado de trabajos realizados por la Oficina de Seguridad para las Redes Informáticas, han sido detectados servidores DNS que por su configuración permiten recursividad, lo que posibilita que terceros realicen ataques de Denegación de Servicios a otros DNS. Los servidores DNS son los encargados de traducir los nombres de dominio en direcciones IP y viceversa. La recursividad en el servicio de DNS consiste en reenviar la petición a otro servidor, sino conocen la dirección o el dominio solicitado inicialmente. De forma general, estos ataques de denegación de servicio pretenden sobrecargar las redes y servidores haciendo uso de un conjunto de solicitudes o respuestas con el objetivo de poner fuera de funcionamiento a dichos servicios. A continuación podrá tener acceso a un material que hace referencia a este tipo de ataque (Ataque amplificación de DNS), y además a una herramienta web (http://www.cucert.cu/dns) que le posibilitará conocer si su servidor DNS permite recursividad. ******** La herramienta la desactivaron porque daba falsos positivos. El material de lectura lo tienes para descarga en http://www.cucert.cu/Lecturas/Ataque%20amplificacion%20DNS.pdf -- M.Sc. Alberto García Fumero Usuario Linux 97 138, registrado 10/12/1998 http://interese.cubava.cu Una conclusión es el punto en que usted se cansó de pensar. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l