[fli4l] DMZ mit 3.10.4

Florian Wolters florian at florian-wolters.de
Mo Nov 2 00:02:32 CET 2015


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Hi Thomas,

> Sorry, das war so nicht gedacht. Hab den falschen Knopf in
> Thunderbird gedrückt...

Da bist du nicht der einzige :)

>>> Aus der 3.10.3 Konfiguration habe ich folgendes in
>>> dns_dhcp.txt
>> übernommen:
>>> ###################################### OPT_DNS='yes' 
>>> DNS_BIND_INTERFACES='yes' DNS_LISTEN_N='1' 
>>> DNS_LISTEN_1='IP_NET_1_IPADDR' 
>>> ######################################
> 
> Nebenbei: Wieso hat diese Einstellung so unter 3.10.3
> funktioniert?

Weil in der 3.10.4 das Ticket FFL-1476 umgesetzt wurde, das
Standardregeln für DNS-Anfragen einfügt. Diese werden von den
Interfaces und den dazugehörigen IP-Adressen abgeleitet. Daher werden
DNS-Anfragen an den DNS Server unter der IP-Adresse IP_NET_1_IPADDR
auch nur noch aus dem IP_NET_1 beantwortet.

>> Daher solltest du noch einen weiteren Eintrag vornehmen und
>> DNS_LISTEN_N um eins erhöhen:
>> 
>> DNS_LISTEN_N='2' DNS_LISTEN_1='IP_NET_1_IPADDR' 
>> DNS_LISTEN_2='IP_NET_2_IPADDR'
>> 
> Leider ist das nicht die Lösung. Eingebaut, neu gestartet, geht
> nicht. Deinen Korrektur-Vorschlag wieder ausgebaut. Hinweis: Der
> Server in der DMZ ist so konfiguriert, dass er IP_NET_1_IPADDR als
> DNS-Server nutzt.

Ja, das hättest du mal vorher erwähnen sollen :) Es fehlt mit
Sicherheit noch eine Firewall Regel, die den DNS Verkehr durch den
Router zu IP_NET_1_IPADDR erlaubt. Z.B.

PF_INPUT_x='IP_NET_2 IP_NET_1_IPADDR 53 ACCEPT'

Wie ist denn die Einstellung von "PF_INPUT_ACCEPT_DEF" in der
config/base.txt?


> Wenn ich auf dem Rechner in der DMZ bin, den funktioniert ein ping
> auf IP_NET_1_IPADDR. Ein ping auf IP_NET_2_IPADDR funktioniert
> auch. Ein ping auf 8.8.8.8 geht immer noch.
> 
> Vom router funktioniert ein ping sowohl auf den Namen als auch auf
> die IP-Adresse der Rechners in der DMZ.
> 
> nslookup auf dem Rechner in der DMZ bringt immer einen timeout
> Fehler (connection timed out; no servers could be reached), wenn es
> nach der IP-Adresse von google.de gefragt wird.

Klar, weil die Firewall den DNS Verkehr von IP_NET_2 auf
IP_NET_1_IPADDR nicht zulässt (s.o.).

> Kann man irgendwie heraus bekommen, aufgrund welcher (eventuell 
> fehlender) Regel die Firewall die DNS-Pakete verwirft?

Ja klar. Setze mal PF_INPUT_LOG='yes' und schalte (falls nicht eh
schon eingeschaltet) den Syslog-Daemon ein mit OPT_SYSLOGD='yes'. Dann
kannst du die Ausgaben des Kernels bzgl. der Firewall mittels
SYSLOGD_DEST_1='kernel.* /dev/console' auf den Bildschirm ausgeben
lassen. Alternativ mit 'kernel.* /var/lib/persistent/syslog' auch in
eine Datei auf dem persistenten Speicher.

Die Ausgaben kannst du gerne noch mal posten, falls es dennoch nicht
klappen sollte.

Viele Grüße

   Florian

- --
fli4l-Team


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
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=eneP
-----END PGP SIGNATURE-----


Mehr Informationen über die Mailingliste Fli4L