[Fli4l_dev] DNS auf internen Rechner (Pi-Hole) umbiegen
Hans Bachner
hans at bachner.priv.at
Mo Mär 4 22:32:11 CET 2019
B. Sprenger schrieb am 04.03.2019 um 16:51:
> Hallo zusammen,
> kurz vorweg: Es funktioniert:
> Am 04.03.2019 um 10:18 schrieb Hans Bachner:
>> B. Sprenger schrieb am 03.03.2019 um 22:31:
>
>>>
>>>>> Daher die Frage: kann ich die DNS Auflösung im Fli4l so umbiegen, dass
>>>>> er einen internen Rechner befragt?
>
> Einfach in der base.txt als DNS forwarder die Adresse des Pi-Hole
> eintragen.
> Allerdings habe ich jetzt Fehlermeldungen bzw. Warnunegn im Log:
> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: de.ioam.de
> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: securepubads.g.doubleclick.net
> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: prophet.heise.de
> Local0.Warning 172.16.0.1 dnsmasq[18768]: possible DNS-rebind
> attack detected: securepubads.g.doubleclick.net
>
>
> Kann man das abstellen?
> Oder soll ich das einfach ignorieren?
Sind das Rechner, die von Pi-Hole geblockt werden (sollen) und für die
daher private Adressen (RFC 1918) zurückgegeben werden? Wenn ja, kannst
du die Meldungen mit DNS_REBINDOK_* Definitionen unterdrücken. Wird aber
vermutlich relativ aufwendig, vor allem wenn der Pi-Hole seine
Sperrliste dynamisch von außen bezieht.
Soviel ich weiß, kann man diese Adressen nur je Domain erlauben und
nicht von einem bestimmten (internen) DNS-Server grundsätzlich
akzeptieren. Ich habe mich mit Pi-Hole nicht befasst - ist es wichtig,
dass der für blockierte Sites private Adressen geliefert werden? Würde
nicht ein NXDOMAIN (Non-existent domain) auch genügen?
Hans.
Mehr Informationen über die Mailingliste Fli4l_dev