[fli4l] Firewall Match-Set - Frage

[Christoph Schulz]

Hallo!

Jens Haberstroh schrieb:

> Vielen Dank,
> 
> wenn ich das richtig verstehe, werden die IP-Adressen im laufenden
> Betrieb
> des fli4l-Routers regelmäßig dynamisch neu aufgelöst, sodass sich
> chrony
> an sich ändernde Zuordnungen anpasst.

Nein. Es besteht auch keine Notwendigkeit dazu, weil ein DNS-Ergebnis eine 
TTL hat, die besagt, wie lange die Abbildung Name-->IP gültig ist.

Das Ganze ist wirklich nur ein technisches Hilfsmittel, um DNS-Namen in 
Firewall-Regeln verwenden zu können. Das geht mit Bordmitteln nämlich nicht, 
also verweisen die Regeln auf ipsets, die bei einer DNS-Auflösung *über den 
fli4l* entsprechend gefüllt werden. Das bedeutet, dass wenn du z.B. 
ptbtime1.ptb.de auf anderem Wege auflöst (über einen Webdienst etwa, der 
Zugang zu einem DNS-Resolver auf einer anderen Maschine bietet) und dann die 
IP-Adresse direkt verwendest, der fli4l die Pakete nicht durchlässt, denn 
die DNS-Auflösung hat ja nicht über ihn stattgefunden, so dass das 
entsprechende ipset weiterhin leer geblieben ist. Aber solchen Schweinkram 
wie manuell DNS-Namen übers Web auflösen und dann die IP-Adresse direkt 
verwenden macht man ja eh nicht ;-)

> Die DNS-TTL ist vermutlich hinter der IP stehende timeout-Wert?
> 
> ipset -L dns1-4
> Name: dns1-4
> Type: hash:ip
> Revision: 2
> Header: family inet hashsize 1024 maxelem 65536 timeout 0
> Size in memory: 16560
> References: 1
> Members:
> 192.53.103.108 timeout 10448

Ja. Die TTL wird beim Hinzufügen des Eintrags gesetzt und dann 
kontinuierlich vom Kernel dekrementiert. Ist null erreicht, wird der Eintrag 
automatisch gelöscht.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]