[Fli4l_dev] Warnung von der Telekom

Christoph Schulz fli4l at kristov.de
Mo Okt 26 21:14:09 CET 2015


Hallo!

Gotthard Anger schrieb:

> [...]
> An Ihrem Zugang ist ein offener 'Domain Name System' (DNS) Server
> aktiv, der von Dritten für Angriffe missbraucht werden könnte. Bei
> Internetzugängen von Privatnutzern ist es fast immer der Router, der
> eine solche Schwachstelle aufweist.

Das dürfte nur der Fall sein, wenn du Port 53 nach außen hin öffnest. Das 
war bei mir auch zeitweise der Fall, weil ich über einen NS-Record woanders 
auf meinen fli4l verwiesen habe und der für eine Domäne dann authoritativ 
tätig werden sollte. Das hat leider jedoch auch alle anderen Abfragen 
erlaubt. Deshalb baute ich überhaupt das Ganze mit DNS_AUTHORITATIVE ein, um 
den Anwendungsfall abzudecken.

> Offen gestanden bin ich irritiert. IMHO antwortet mein DNS auf dem Fli
> nur auf Anfragen von innen. Aus der Verbindungstabelle in der Webgui
> werde ich auch nicht schlau - wenn auf beiden Seiten externe Adressen
> stehen - was hat mein Fli damit zu tun?

Du hast wirklich keine Regel der Form

PF_INPUT_x='tmpl:dns ACCEPT'

?

Du kannst es ja auch einfach ausprobieren, wenn du Zugriff auf einen Rechner 
außerhalb deines Netzwerks hast: Einfach via "dig" versuchen, den DNS-Dienst 
auf deinem fli4l anzusprechen. Beispiel:

root at eisler:~# dig google.de @kristov.noip.me

; <<>> DiG 9.8.1-P1 <<>> google.de @kristov.noip.me
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7566
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;google.de.                     IN      A

;; Query time: 55 msec
;; SERVER: 89.182.191.18#53(89.182.191.18)
;; WHEN: Mon Oct 26 21:10:27 2015
;; MSG SIZE  rcvd: 27

Keine Antwort ist eine gute Antwort :-)

Nutze ich einen Namen, der zum fli4l gehört, funktioniert die Abfrage:

root at eisler:~# dig berry.schulz.ip-v6.eu @kristov.noip.me AAAA

; <<>> DiG 9.8.1-P1 <<>> berry.schulz.ip-v6.eu @kristov.noip.me AAAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61689
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;berry.schulz.ip-v6.eu.         IN      AAAA

;; ANSWER SECTION:
berry.schulz.ip-v6.eu.  600     IN      AAAA    
2001:6f8:13da:1:5054:ff:fee9:d842

;; AUTHORITY SECTION:
schulz.ip-v6.eu.        600     IN      NS      kristov.noip.me.

;; Query time: 144 msec
;; SERVER: 89.182.191.18#53(89.182.191.18)
;; WHEN: Mon Oct 26 21:11:24 2015
;; MSG SIZE  rcvd: 111

Hier nur IPv6, also AAAA-Record, weil meine LAN-Rechner keine externen IPv4-
Adressen haben. (Woher auch, bei der IPv4-Adressknappheit...)

Bei dir dürfte, da du vermutlich keine Domäne über deinen fli4l verwaltest, 
in keinem Falle eine gültige Antwort herauskommen, weder für externe 
(google.de o.ä.) noch interne (fli4l at lan o.ä.) Namen.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4l_dev