pfSense2.0.1で作るPCルーターに関する設定メモ
以前に作成して快調だったPCルーターが突然ネットへ接続不可に
なっていた
原因は、HDD代わりに使用しているCFカードがダメになったらしく
モニターをつないで見るとなにやら、コンソール画面がエラーだらけ
パーミッションなんたらエラーが連発していて、再起動後も正常起動せず
ネットに繋げないのはメールが見れず困るし、自宅サーバーを友人にも
貸している手前、さっそく別のCFカードに再構築することにした
現在のバージョンは2.0.1らしく
「pfSense-2.0.1-RELEASE-i386.iso.gz」をダウンロードして
ISOイメージをCDへ焼きこんでから、CFカードへインストール
インストールに手間はさほどかからず、サクサクと作業は進む
インストール後は、前回同様にコンソール画面から、LANポートの設定と
手っ取り早くDHCPの初期設定だけやって、後はWeb上で市販ルーター
同様に設定していく
手順的には、PPPoE接続設定とNATでとりあえずネットへの接続は
問題なしだが今回は別の箇所で少しはまった
以前に市販ルーターでも経験しているが、自宅内のサーバーへ
ドメイン名でアクセスが出来ない・・市販ルーターでは、ドメイン名で
アクセスするとルーターの設定画面が出てしまう例がわりと多いが
pfSense 2.0.1では「Potential DNS Rebind attack detected ・・・」
と言う「DNSの再バインド攻撃を検出」と言う警告と501エラーが出てしまう
私の環境では、サーバーには内向きにDNSを設置していてLAN内での
名前解決は問題なく運用してきた
ためしに、クライアントPCのネットワークプロパティからTCP/IPの
設定内で優先DNSにローカルサーバーのIPアドレスを入れると問題なく
ドメイン名でアクセスできるようになる
これでも良いと言えば良いのだが、なにかスッキリしないので
少し調べてみると、同様のケースで困っているような例がpfSenseの
フォーラム内にはいくつかある、バグじゃねーの?らしき文言もあるが
基本英語はよくわからないので、決定的な対応策は見つからない
更に突っ込んで調べてみると、hairpin NATに該当する機能がpfSenseでは
System -> Advanced -> Firewall/NAT -> Network Address Translation
と言う項目内の、「Disable NAT Reflection」のチェックをはずせと言う情報が
見つかった
が、結果は変わらず
後は、色々と設定メニューを物色しつつ試してみたのが
Services -> DNS forwarder 内の「Domain Overrides」
に該当するドメイン名を追加エントリする方法
これが正解でした
追加エントリする内容は、該当するローカルサーバー内のドメインと
内向きDNSのIPアドレス
複数ドメインがあれば順番に登録しておけば大丈夫です
ここでドメイン名とDNSを紐付けし、フィルタリングされる事はなくなり
ました
ドメインを登録する手間もありはしますが、なんとなくこちらの方が
スッキリした感じはしています
おそらくは、今後のバージョンアップでまた不要な設定になるかも
しれませんが、pfSense自体を旧バージョンへ戻すのも面倒なので
ひとまずはこのまま様子をみることにします