înregistrare Logare
Puncte:0
erotavlas avatar Server

Server web, firewall și director activ: eroare internă de conectare la rețea „Atac de relegare DNS”

drapel fr
erotavlas

Am o problemă cu un server web (WS) (apache pe serverul ubuntu 20.04), Fortinet Firewall (FF) și Windows Active Directory (AD). ISP-ul meu mi-a actualizat recent conexiunea la internet și a schimbat unele configurații (adrese IP statice și subrețea). Înainte de upgrade, nu a fost nicio problemă. În special, AD era în spatele FF, în timp ce WS-ul era extern acestuia (mașinii din rețelele locale și din rețelele externe au ajuns la WS de pe Internet).

După actualizare, configurația AD și WS este în continuare aceeași, dar din cauza schimbării ISP-ului meu, am probleme de conectare între rețeaua mea locală administrată de AD și WS. În detaliu, pe firefox primesc un mesaj de eroare de la ISP firewall pfsense „potențial DNS rebinding attack detected try to access to WS via IP instead of hostname” pe chromium problema este aceeași, dar primesc o eroare mai puțin specifică. În timp ce nu există nicio problemă prin conectarea la WS din orice rețea externă. Mi-am contactat ISP-ul întrebând despre eroare, mi-au spus că și-au schimbat configurația și că pentru a rezolva problema ar trebui să folosesc doar DNS-ul lor.

Cunosc apache și GNU/linux destul de bine, în timp ce nu mă pricep atât la AD, cât și la FF. Am căutat pe web despre schimbarea DNS-ului pentru AD. Așa că am configurat ca DNS local o mașină locală (DHCP) și ca DNS extern/forwarder (cel furnizat de ISP). Cu toate acestea, problema este încă prezentă. Prima mea idee este să muți WS din afara FF într-un DMZ în așa fel încât mașinile din rețeaua internă să poată ajunge la el ca o conexiune locală fără a trece de pe Internet. Cu toate acestea, acest lucru necesită o schimbare în configurația FF (trebuie să o învăț). Există ceva ce pot face între timp? Ceva pe AD? Mulțumesc

Editați | ×: Am atasat o schema a retelei. Pe prima pagina, există configurația rețelei înainte de actualizarea ISP1-ului meu. Configurația actuală a rețelei este în a doua pagină. Între timp, am contactat din nou ISP-ul meu și a configurat pfsense cu DNS divizat așa cum este descris Aici. Acum, după configurarea AD-ului doar cu DNS ISP1, potențiala problemă de atac de relegare a DNS pare rezolvată. Aș putea părăsi configurația rețelei în acest fel, deoarece funcționează. Cu toate acestea, încă plănuiesc să configurez un DMZ așa cum se arată pe a treia pagină. În teorie, ar trebui să fie suficient să urmăm acest lucru ghid. Ai vreo sugestie? Am pierdut ceva?

40
0 + 2
web
djdomi avatar
drapel za
djdomi
Vă rog să fiți mai precis care este întrebarea și problema? Întrebările care caută ajutor pentru instalare, configurare sau diagnosticare trebuie să includă starea finală dorită, problema sau eroarea specifică, informații suficiente despre configurație și mediu pentru a o reproduce și soluțiile încercate. Întrebările fără o declarație clară a problemei nu sunt utile altor cititori și este puțin probabil să obțină răspunsuri bune.
0
Răspunde
erotavlas avatar
drapel fr
erotavlas
Ai dreptate. Am editat întrebarea adăugând informații suplimentare.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.