[fli4l] [3.10.1] Frage zur Firewall, blockieren von DNS-Tunneling

[Bernd Kuhls]

Hallo,

ich habe hier einen neugierigen Samsung-TV, der auf das lokale Netz Zugriff 
haben soll, allerdings gleichzeitig keinen Zugriff auf das Internet 
bekommen darf. Mit 

OPT_DHCP='yes'
DHCP_TYPE='isc-dhcpd'

vergebe ich eine IP:

HOST_9_NAME='tv'
HOST_9_IP4='192.168.1.11'
HOST_9_ALIAS_N='0'
HOST_9_DHCPTYP='mac'
HOST_9_MAC='xx:xx:xx:xx:xx:xx'

Weiterhin habe ich konfiguriert:

PF_FORWARD_POLICY='REJECT'
PF_FORWARD_ACCEPT_DEF='yes'
PF_FORWARD_LOG='yes'
PF_FORWARD_N='3'
PF_FORWARD_1='@tv DROP NOLOG'
[...]

Im DNS-Log tauchen neben den obligatorischen "www.samsung.com"-Einträgen 
noch weitere auf:

$ grep 192.168.1.11 dns | grep -v "query\[A\] www.samsung.com from" | uniq 
| sed "s/fli4l local0.info //g"

Feb  8 09:41:47 dnsmasq[12745]: query[A] ns11.whois.co.kr from 192.168.1.11
Feb  8 09:41:48 dnsmasq[12745]: query[A] guide.internetat.tv from 
192.168.1.11
Feb  8 09:41:49 dnsmasq[12745]: query[A] api.dailymotion.com from 
192.168.1.11
Feb  8 09:41:49 dnsmasq[12745]: query[A] gdata.youtube.com from 
192.168.1.11
Feb  8 09:41:49 dnsmasq[12745]: query[A] api.flickr.com from 192.168.1.11
Feb  8 09:41:54 dnsmasq[12745]: query[A] notice.samsungcloudsolution.com 
from 192.168.1.11
Feb  8 09:41:55 dnsmasq[12745]: query[A] notice.samsungcloudsolution.com 
from 192.168.1.11

Sieht bislang harmlos aus, aber ich möchte meine fli4l-config dahingehend 
erweitern, dass DNS-Tunneling[1] unterbunden wird. Der Fernseher soll also 
für interne hosts einen DNS-Eintrag zurückbekommen, aber generell nicht 
mehr für externe hosts.

Ein Gedanke wäre, dem TV per DHCP eine dynamische IP und per 
DHCP_RANGE_x_DNS_SERVER1='' einen anderen als den Standard-DHCP-Server 
zuzuweisen, welcher nur interne hosts auflöst.

Ist das mit fli4l möglich?

Viele Grüße, Bernd

[1] http://www.heise.de/security/meldung/Infizierte-Bezahlterminals-
umgehen-Firewalls-2427476.html