[fli4l] Firewall Match-Set - Frage

Christoph Schulz fli4l at kristov.de
Mi Apr 6 13:39:51 CEST 2016


Hallo!

Jens Haberstroh schrieb:

> Hallo Christoph,
> 
> danke zunächst für die Verdeutlichung, eine Frage habe ich jedoch
> noch.
> 
> Der chronyd des fli4l-Routers benutzt die genannten Hostnamen
> ptbtime[123].ptb.de ja, um seine Zeit mit diesen Servern zu
> synchronisieren. Kann es da denn sein, dass das IPSet nicht
> regelmäßig gefüllt/aktualisiert wird? Meiner Ansicht nein.

Ich weiß nicht genau, was du meinst. Ich nehme an, dass chronyd vor dem 
Verbindungsaufbau die DNS-Namen in IP-Adressen auflöst, und das war's. Es 
wird keine weitere DNS-Auflösung erfolgen, solange die Verbindung steht, und 
chronyd wird immer denselben Server benutzen. Dagegen spricht aber auch 
nichts bzw. wenn du regelmäßige Wechsel via DNS-Round-Robin nutzen willst, 
müsstest du chronyd umschreiben.

Die ausgehende Verbindung zu dem NTP-Server wird immer funktionieren, egal 
ob der Eintrag im zugehörigen ipset irgendwann herausfällt oder nicht, weil 
die Verbindung ja aktiv ist (Stichwort Conntrack) und die Firewall Pakete 
dieser Verbindung immer in beiden Richtungen durchlässt. Erst wenn diese 
Verbindung unterbrochen und neu aufgebaut wird, muss ein Eintrag im ipset 
enthalten sein. Aber dann wird chronyd sicherlich den DNS-Namen erneut 
auflösen (und vielleicht eine ganz andere IP-Adresse erhalten). Lokales 
Zwischenspeichern von DNS-Ergebnissen ist ohnehin eine böse Sache (die 
Anwendung müsste dann z.B. die Verantwortung dafür übernehmen, die TTL zu 
berücksichtigen), und ich denke nicht, dass chronyd so etwas tut.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4L