Tham gia Đăng nhập
Điểm:0
erotavlas avatar Server

Máy chủ web, tường lửa và thư mục hoạt động: lỗi kết nối mạng nội bộ "Tấn công đảo ngược DNS"

lá cờ fr
erotavlas

Tôi gặp sự cố với máy chủ web (WS) (apache trên máy chủ ubuntu 20.04), Tường lửa Fortinet (FF) và Windows Active Directory (AD). ISP của tôi gần đây đã nâng cấp kết nối Internet của tôi và thay đổi một số cấu hình (địa chỉ IP tĩnh và mạng con). Trước khi nâng cấp, không có vấn đề gì. Cụ thể, AD đứng sau FF trong khi WS ở bên ngoài nó (máy từ mạng cục bộ và từ mạng bên ngoài đến WS từ Internet).

Sau khi nâng cấp, cấu hình của AD và WS vẫn như cũ, nhưng do thay đổi ISP nên tôi gặp vấn đề về kết nối giữa mạng cục bộ do AD quản lý và WS. Cụ thể, trên firefox, tôi nhận được thông báo lỗi từ tường lửa ISP pfsense "đã phát hiện thấy cuộc tấn công đảo ngược DNS tiềm ẩn, cố gắng truy cập vào WS qua IP thay vì tên máy chủ" trên crom, sự cố cũng giống như vậy, nhưng tôi gặp lỗi ít cụ thể hơn. Trong khi đó không có vấn đề gì khi kết nối với WS từ bất kỳ mạng bên ngoài nào. Tôi đã liên hệ với ISP của mình để hỏi về lỗi này, họ nói với tôi rằng họ đã thay đổi cấu hình và để giải quyết vấn đề, tôi chỉ nên sử dụng DNS của họ.

Tôi biết khá rõ về apache và GNU/linux trong khi tôi không giỏi cả AD và FF. Tôi đã tìm kiếm trên web về việc thay đổi DNS cho AD. Vì vậy, tôi đã thiết lập làm DNS cục bộ cho một máy cục bộ (DHCP) và làm DNS bên ngoài/chuyển tiếp (máy do ISP cung cấp). Tuy nhiên, vấn đề vẫn còn hiện diện. Ý tưởng đầu tiên của tôi là chuyển WS từ bên ngoài FF vào DMZ theo cách mà các máy từ mạng nội bộ có thể truy cập nó dưới dạng kết nối cục bộ mà không cần chuyển từ Internet. Tuy nhiên, điều này đòi hỏi một số thay đổi trong cấu hình FF (tôi phải tìm hiểu nó). Có điều gì tôi có thể làm trong thời gian chờ đợi không? Một cái gì đó trên AD? Cảm ơn bạn

Chỉnh sửa: Tôi đính kèm một sơ đồ của mạng. trên trang đầu tiên, có cấu hình mạng trước khi nâng cấp ISP1 của tôi. Cấu hình mạng hiện tại nằm trong trang thứ hai. Trong thời gian chờ đợi, tôi đã liên hệ lại với ISP của mình và nó đã định cấu hình pfsense với DNS phân tách như mô tả đây. Bây giờ, sau khi định cấu hình AD chỉ với ISP1 DNS, vấn đề tấn công đảo ngược DNS tiềm ẩn dường như đã được giải quyết. Tôi có thể để cấu hình mạng theo cách này vì nó đang hoạt động. Tuy nhiên, tôi vẫn đang lập kế hoạch định cấu hình DMZ như được hiển thị trên trang thứ ba. Về lý thuyết nó là đủ để làm theo điều này hướng dẫn. Bạn có gợi ý nào không? Tui bỏ lỡ điều gì vậy?

40
0 + 2
djdomi avatar
lá cờ za
djdomi
Bạn có thể vui lòng cụ thể hơn câu hỏi và vấn đề là gì không? Các câu hỏi tìm kiếm trợ giúp về cài đặt, cấu hình hoặc chẩn đoán phải bao gồm trạng thái kết thúc mong muốn, sự cố hoặc lỗi cụ thể, thông tin đầy đủ về cấu hình và môi trường để tái tạo nó cũng như các giải pháp đã thử. Các câu hỏi không có tuyên bố vấn đề rõ ràng sẽ không hữu ích cho những người đọc khác và không có khả năng nhận được câu trả lời hay.
0
Hồi đáp
erotavlas avatar
lá cờ fr
erotavlas
Bạn đúng rồi. Tôi đã chỉnh sửa câu hỏi bằng cách thêm thông tin.
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.