[Fli4l_dev] openvpn roadwarrior mit fli4l 4.0 testing

Alexander Dahl lespocky at web.de
Sa Nov 21 16:04:21 CET 2015


Hallo Peter,

Peter Schiefer <newsgroup at lan4me.de> schrieb:
>> DNS_BIND_INTERFACES='no'
>
> und DNS_LISTEN_N ist nicht 0? oder?

Ist es nicht egal, was ich bei DNS_LISTEN_N eintrage, wenn ich
DNS_BIND_INTERFACES auf no setze? Der sollte dann doch auf allen
interfaces lauschen, egal ob ich über DNS_LISTEN_N noch welche angebe
oder nicht!? Wenn eh nur auf DNS_LISTEN_N geschaut wird, ist
DNS_BIND_INTERFACES eine überflüssige Option. ;-)

>> Der Router lauscht für DNS zwar auf allen Interfaces, DNS-Anfragen auf
>> die OPENVPN_1_LOCAL_VPN_IP werden aber nicht beantwortet. :-/
>
> wenn DNS_LISTN_N != 0 ist werden alle DNS-Anfragen in INPUT-head nach
> in-dns-ubp bzw in-dns-tcp geschoben und dort am ende der Kette gedropped
> falls nich vorher eines der Interfaces das via DNS_LISTEN_x referenziert
> wurde das Paket zulässt.

Siehe oben. Nach meinem Verständnis müsste hier nach DNS_BIND_INTERFACES
geschaut werden.

>> Vergleichbare input-Regeln für http und ssh funktionieren problemlos.
>> Kann das damit zusammenhängen, dass ssh/http über TCP laufen und DNS
>> über UDP?
>
> nein - das liegt an der Stelle wo der VPNVerkehr in der
> INPUT(-head/-midle/-tail) in die für ovpn-Zuständigen chains geleitet wird.
>
> in 3.10 ist dies übrigens vor der "umleitung" der dns-Pakete
>
> zeig mal die Ausgaben von
> iptables -nvL INPUT-head
> iptables -nvL INPUT-middle
> iptables -nvL INPUT-tail

# iptables -nvL INPUT-head
Chain INPUT-head (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   80  6950 in-icmp    icmp --  *      *       0.0.0.0/0            0.0.0.0/0            /* PF_INPUT_ACCEPT_DEF */
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED /* PF_INPUT_ACCEPT_DEF */
 3341 3022K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate ESTABLISHED /* PF_INPUT_ACCEPT_DEF */
   97  5714 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0            /* PF_INPUT_ACCEPT_DEF */
    0     0 DROP       all  --  *      *       127.0.0.1            0.0.0.0/0            ctstate NEW /* PF_INPUT_ACCEPT_DEF */
    0     0 DROP       all  --  *      *       0.0.0.0/0            127.0.0.1            ctstate NEW /* PF_INPUT_ACCEPT_DEF */
  942 92379 PORTREDIRACCESS  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW /* PF_INPUT_ACCEPT_DEF */
    8  1322 ACCEPT     41   --  *      *       78.35.24.124         0.0.0.0/0            /* IPv6 protocol */
  335 22829 in-dns-udp  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 /* filters DNS UDP requests */
    0     0 in-dns-tcp  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53 /* filters DNS TCP requests */
    0     0 in-ovpn    all  --  tun+   *       0.0.0.0/0            0.0.0.0/0            /* ovpn VPN traffic */

# iptables -nvL INPUT-middle
Chain INPUT-middle (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  102 13093 ACCEPT     all  --  *      *       10.182.63.0/24       0.0.0.0/0            /* PF_INPUT_1='IP_NET_1 ACCEPT' */
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:139 /* PF_INPUT_2: no samba traffic allowed */
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:445 /* PF_INPUT_2: no samba traffic allowed */
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:137:138 /* PF_INPUT_2: no samba traffic allowed */
    0     0 ACCEPT     all  --  *      *       10.33.23.0/24        0.0.0.0/0            /* PF_INPUT_3='10.33.23.0/24 ACCEPT' */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5001 /* PF_INPUT_4='5001 ACCEPT' */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5001 /* PF_INPUT_4='5001 ACCEPT' */

# iptables -nvL INPUT-tail
Chain INPUT-tail (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  542 59677 in-tor     all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* tor access */
  542 59677 in-ovpn-ports  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* ovpn access */
    0     0 in-dhcpd   udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:67 /* dhcp requests access */
  542 59677 in-rej     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Ich tu mich noch bisschen schwer das zu interpretieren. ;-)

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: 02C8 A590 7FE5 CA5F 3601  D1D5 8FBA 7744 CC87 10D0


Mehr Informationen über die Mailingliste Fli4l_dev