Регистрация Войти
Рейтинг:0
erotavlas avatar Server

Веб-сервер, брандмауэр и активный каталог: ошибка подключения к внутренней сети «Атака повторной привязки DNS»

флаг fr
erotavlas

У меня проблема с веб-сервером (WS) (apache на сервере ubuntu 20.04), брандмауэром Fortinet (FF) и Windows Active Directory (AD). Мой интернет-провайдер недавно обновил мое интернет-соединение и изменил некоторые настройки (статические IP-адреса и подсеть). До обновления проблем не было. В частности, AD находился за FF, а WS был внешним по отношению к нему (машины из локальных сетей и из внешних сетей доходили до WS из Интернета).

После обновления конфигурация AD и WS осталась прежней, но из-за смены моего интернет-провайдера у меня возникли проблемы с подключением между моей локальной сетью, управляемой AD, и WS. Подробно, в firefox я получаю сообщение об ошибке от брандмауэра интернет-провайдера pfsense «обнаружена потенциальная атака повторной привязки DNS, попробуйте получить доступ к WS через IP вместо имени хоста», в хроме проблема та же, но я получаю менее конкретную ошибку. Тогда как нет никаких проблем с подключением к WS из любой внешней сети. Я связался со своим интернет-провайдером и спросил об ошибке, они сказали мне, что изменили свою конфигурацию и что для решения проблемы я должен использовать только их DNS.

Я довольно хорошо знаю apache и GNU/linux, тогда как я плохо разбираюсь ни в AD, ни в FF. Я искал в Интернете информацию о замене DNS на AD. Поэтому я настроил в качестве локального DNS локальный компьютер (DHCP) и внешний DNS/сервер пересылки (предоставленный провайдером). Однако проблема все еще присутствует. Моя первая идея - переместить WS из-за пределов FF в DMZ таким образом, чтобы машины из внутренней сети могли добраться до него как локальное соединение, минуя интернет. Однако для этого требуются некоторые изменения в конфигурации FF (я должен это изучить). Есть что-то, что я могу сделать в это время? Что-то по АД? Спасибо

Редактировать: Схему сети приложил. На первая страница, есть конфигурация сети до обновления моего ISP1. Текущая конфигурация сети находится в вторая страница. Тем временем я снова связался со своим интернет-провайдером, и он настроил pfsense с разделенным DNS, как описано. здесь. Теперь, после настройки AD только с DNS ISP1, потенциальная проблема атаки с повторной привязкой DNS кажется решенной. Я мог бы оставить конфигурацию сети таким образом, поскольку она работает. Однако я все еще планирую настроить DMZ, как показано на третья страница. Теоретически должно быть достаточно, чтобы следовать этому гид. Есть ли у вас предложения? Я что-то пропустил?

40
0 + 2
djdomi avatar
флаг za
djdomi
Не могли бы вы быть более конкретным, в чем вопрос и проблема? Вопросы по установке, настройке или диагностике должны включать желаемое конечное состояние, конкретную проблему или ошибку, достаточную информацию о конфигурации и среде для ее воспроизведения, а также попытки решения. Вопросы без четкой формулировки проблемы бесполезны для других читателей и вряд ли получат хорошие ответы.
0
Ответить
erotavlas avatar
флаг fr
erotavlas
Ты прав. Я отредактировал вопрос, добавив дополнительную информацию.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.