PfSense Wildcard FQDN
Moin zusammen,
sehe ich es nur nicht oder kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händel?
fe: (http://*.windowsupdate.microsoft.com)
Hintergrund ist eine Vernünftige Regel für den WSUS Server, der eben nach extern nur zu den Update Server quatschen können soll.
Das Thema von wegen Reverse Lookup ist mir bewusst, nur habe ich keine Ahnung wie dies sonst bei jeder "teuren" FW funktioniert.
Euch noch einen schönen Abend!
Gruß
Spirit
sehe ich es nur nicht oder kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händel?
fe: (http://*.windowsupdate.microsoft.com)
Hintergrund ist eine Vernünftige Regel für den WSUS Server, der eben nach extern nur zu den Update Server quatschen können soll.
Das Thema von wegen Reverse Lookup ist mir bewusst, nur habe ich keine Ahnung wie dies sonst bei jeder "teuren" FW funktioniert.
Euch noch einen schönen Abend!
Gruß
Spirit
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374123
Url: https://administrator.de/forum/pfsense-wildcard-fqdn-374123.html
Ausgedruckt am: 24.12.2024 um 00:12 Uhr
10 Kommentare
Neuester Kommentar
das die Sense nur auf IP Basis arbeitet
Wie meinst du das ? Sollte sie auch Apple Talk oder Novell IPX/SPX als Protokoll können. Logisch das irgendwie alles IP basiert ist !Nur WAS willst du genau fragen ? Kollege @Dani hat schon recht das das eher eine Grundsatzfrage ist als eine Produkt spezifische.
Deine Frage ist ja eher DNS bezogen wenn man das jetzt richtig versteht ?!
Normal arbeitet nur ein DNS Caching Server auf der FW. Wenn du mehr willst musst du über die Package Verwaltung einen vollwertigen DNS dazu installieren, damit sind solche Klimmzüge wie du sie vorhast dann problemlos umsetzbar.
Wildcard-Einträge sind bei einer Firewall immer heikel. Die Fortigates können es auch, verweigern es aber für Neueinträge, weil es einfach zu unzuverlässig ist. Entweder müsste die Firewall sämtliche DNS-Anfragen überwachen und entsprechend reagieren, was aber bei Enterprise-Umgebungen meist nicht klappt, da der/die DNS-Server als Teil des AD oder vergleichbarer Dienste intern bereitgestellt werden. Oder die Firewall müsste zu Beginn jeder Verbindung ein RDNS-Lookup machen, wobei man hoffen muss, dass Vorwärts- und Rückwärtsauflösung passen.
Bei HTTP ist es wieder was anderes. Hier könnte man einen Proxy oder ein ALG nutzen (Squid gibt es auch für die *Sense), da hier der HTTP-Hostname ausgewertet werden kann. Für HTTPS müsste man dann schauen, ob und wie es mit Squid geht, Fortigate bietet hier für Deep und Certificate Inspection, die Deep Inspection zwingend mit SSL-Fehler oder administrativem Aufwand, beides jedoch als Man-in-the-Middle-"Angriff".
Bei HTTP ist es wieder was anderes. Hier könnte man einen Proxy oder ein ALG nutzen (Squid gibt es auch für die *Sense), da hier der HTTP-Hostname ausgewertet werden kann. Für HTTPS müsste man dann schauen, ob und wie es mit Squid geht, Fortigate bietet hier für Deep und Certificate Inspection, die Deep Inspection zwingend mit SSL-Fehler oder administrativem Aufwand, beides jedoch als Man-in-the-Middle-"Angriff".
Hi,
Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.
Gruß
CH
kann die Sense tatsächlich keine Wildcard FQDNs Bsp. in nem Alias händelt ?
nein, du bist nicht der Einzige, der dies zu Recht bemängelt. z.B. hier.Mit dem Squid package oder pflockerNG kann es ggf. gelöst werden.
Gruß
CH
Moin,
Gruß,
Dani
Wie löst ihr die Thematik denn?
ein Stück weit über Application Rules/Detection. Somit spielen die IP-Adresse eine untergeordnete Rolle. Gerade bei Produkte in den Cloud, wo der DNS-Server verschiedene IP-Adressen zurückgeben kann, unumgänglich. Denn die IP-Rangen zeitnah zu pflegen ist fast unmöglich.Gruß,
Dani