pfSense 不将 DNS 转发到相关的 VPS
Gha*_*yel 7 domain-name-system pfsense
我们正在运行 Xenserver 管理程序,我为 pfSense 创建了 5 个虚拟机和 1 个虚拟机,因此所有虚拟机都在连接到 pfSenese LAN 接口的 172.16.0.0/24 范围内。pfSense 有两个接口:LAN(172.16.0.100 作为所有 VM 的网关)和具有 Failover_IP(公共 IP)的 WAN。
我使用我们的 Failover_IP(公共 IP)注册了域,并且所有域都在 ping。我们的域名之一是 chineesmetal.com。此域驻留在我们的其中一个具有主机名的 VPS 上OracleLinux1.Onlinenics.net
现在我在 pfSense 中尝试如下:
- 服务 => DNS 转发器
- 勾选选项
Enable DNS forwarder&Register DHCP leases in DNS forwarder - 服务 => DNS 转发器 => 高级 => 地址 =/coldrol.com/172.16.0.1
- 服务 => DNS 转发器 => 主机覆盖并执行以下操作:
但当我在浏览器中访问 chineesmetal.com 时没有转发以下错误:
Potential DNS Rebind attack detected, see
http://en.wikipedia.org/wiki/DNS_rebinding
Try accessing the router by IP address instead
of by hostname.
我刚刚从 pfSense 中删除了 BIND 并简单地将端口 53 (DNS) 转发到相关的 VPS 并且故障转移 IP 上的所有域都开始工作,但我的问题是这对于一个特定 IP 上的一个 vps 其工作但 pfSense 如何在端口时识别其他 vps 域在每个服务器上都是相同的,例如端口 80、8443、25、587 110 等。
在这种情况下如何配置 pfSense?
请指教
这个问题在 Pfsense 中有很好的记录,并提供了解决方法:DNS 重新绑定保护
DNS 转发器 (
dnsmasq)--stop-dns-rebind默认使用该选项,该选项拒绝并记录来自私有 IP 范围内的上游名称服务器的地址。在最常见的用法中,这是过滤从 Internet 收到的 DNS 响应以防止 DNS 重新绑定攻击。Internet DNS 响应永远不应该返回私有 IP,因此阻止它是最安全的。在某些情况下,公共 DNS 服务器默认具有私有 IP 地址回复,但不建议这样做。在这些情况下,可以禁用 DNS 重新绑定,或者可以在DNS 转发器高级设置框中放置一个覆盖,如下所示:
rebind-domain-ok=/mydomain.com/请注意,对于 DNS 转发器的域覆盖列表中的域,这会自动覆盖,因为该功能最常见的用途是解析内部 DNS 主机名。