[fli4l] PF_PREROUTING-Regeln für geroutete IPs auf dem DSL-Anschluss

Alexander Bahlo fli4l at trikone.han.de
Mi Okt 12 00:07:13 CEST 2016


Hallo kay, hallo Christoph,

Am Tue, 11 Oct 2016 02:41:07 +0200 schrub kay <kay at martinen.de>:

> Am 11.10.2016 um 00:44 schrob Alexander Bahlo:
> > Der Vollständigkeit halber noch meine Frage, ob beabsichtigt ist, dass
> > die mit HOST_x_ALIAS_y-vergebenen Alias-Bezeichner nicht in den Routing-
> > Regeln verwendet werden können. Immerhin funktionieren sie bei der
> > Namensauflösung.  
> 
> IMHO löst der paketfilter selbst keine adressen auf. Darum kannst er
> weder mit alias noch mit domainnamen etwas anfangen.

Habe ich nicht verstanden. Welche Domainnamen? Wahrscheinlich reden wir
aneinander vorbei, deshalb ein konkretes Beispiel:

# dns_dhcp.txt
HOST_x_NAME='nautilus'
HOST_x_ALIAS_1='www'

# base.txt
PF_PREROUTING_2='tmpl:http    dynamic DNAT:@hostname LOG:http'

=> Funktioniert. Ist auch so dokumentiert.

# base.txt
PF_PREROUTING_2='tmpl:http    dynamic DNAT:@www LOG:http'

=> Funktioniert nicht. Ich kann keinen Grund erkennen, warum das nicht
funktionieren sollte. Da muss keine DNS-Anfrage mehr ausgeführt werden,
als im Fall davor. Ich gehe vielmehr davon aus, dass zur
Erstellungszeit des Images die @namen durch die IP-Adresse ersetzt
werden. Das ist doch in beiden Fällen gleich gut möglich!

Die Verwendung des Alias halte ich deshalb für praktisch, wenn ich
nämlich www von hostname1 auf hostname2 verlegen möchte, brauche ich nur
den Alias-Eintrag zu verschieben. Anderenfalls müsste ich ja sämtliche
Regeln suchen und ersetzen, die auf hostname1 lauten.

> Die Gründe sind wohl recht simpel. Wenn das ginge, dann müsste m.E. pro
> Zutreffender Regel erst eine dns-anfrage ausgeführt werden, egal ob nun
> gegen eine hosts-datei oder einen dns-server/proxy. Sonst könnte sich
> die IP zu dem namen geändert haben und dann die Regel auf das falsche
> Ziel schiessen. Außerdem dauern dns-anfragen sicher deutlich länger als
> die durchlaufzeit eines pakets durch die filterregeln.

Ich kann Deinen Ausführungen überhaupt nicht folgen.

Viele Grüße, Alexander.



Mehr Informationen über die Mailingliste Fli4L