[fli4l] Paketfilter REDIRE?==?utf-8?Q?CT?

Stefan Sauer mein-fli4l-postfach at freenet.de
Mo Dez 22 20:38:42 CET 2014


Hallo zusammen,

aufgrund der aktuellen NTP-Sicherheitslücke schaute ich mir meine
Konfiguration auf dem Router an. Ich stellte fest, dass vor allem der in
Windows verwendete Server time.windows.com nicht zuverlässig
antwortete. Synchronisierte ich mit dem fli-Router (LAN seitig) ging es
100%ig. Nun verwende ich jedoch mehere Betriebsystem mit Multiboot und
auch mehrere virtuelle Maschinen. Da ich keine Lust hatte, alle per Hand
anzupassen, suchte ich nach einer anderen Lösung. Nach ein bischen
Lesen der Dokumentation fand ich heraus, dass der chronyd an allen IPv4
Interfaces horcht (0.0.0.0:123). In der Paketfilterkonfiguration stand
ein REDIRECT leitet Pakete an die Adresse 127.0.0.1 und den angegebenen
Port. Ich erstelle also die folgenden Firewall-Regeln:

PF_INPUT_8='tmpl:ntp ACCEPT LOG:Zeitabgleich'

und 

PF_PREROUTING_2='if:IP_NET_3_DEV:any tmpl:ntp IP_NET_3 any REDIRECT:123
LOG:lokale_Umleitung'

Ich erwartete, dass der Paketfilter die Pakete nach 127.0.0.1:123
umleitet, doch zu meiner Überraschung sagt das Log folgendes:

Dec 22 20:29:13 router kern.warn kernel: lokale_Umleitung IN=eth2 OUT=
MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xxx SRC=192.168.7.138
DST=192.168.7.1 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=45594 DF PROTO=UDP
SPT=50188 DPT=53 LEN=41

192.168.7.138 ist die IP des Clients
192.168.7.1 ist die IP des Routers der LAN Seite

Jetzt bin ich etwas irritiert. Wenn ich einen Fehler gemacht hab, seh
ich ihn nicht und wäre dankbar für den entsprechenden Hinweis, oder
kann es sein, dass die Dokumentation diesen Fall nicht abdeckt oder sich
sogar ein Fehler eingeschlichen hat?

Vielen Dank für die Antworten
gandalf


Mehr Informationen über die Mailingliste Fli4L