[Fli4l_dev] DNS auf internen Rechner (Pi-Hole) umbiegen

Hans Bachner hans at bachner.priv.at
Di Mär 5 12:37:45 CET 2019


Hallo Alex,

Alexander Dahl schrieb am 05.03.2019 um 09:16:
> Moin,
>
> ich experimentiere derzeit auch ein wenig mit pi-hole, siehe bspw. auch
> https://web.nettworks.org/bugs/browse/FFL-2384
>
> Hans Bachner schrieb Montag,  4. März 2019, 22:32 (CET):
>> Sind das Rechner, die von Pi-Hole geblockt werden (sollen) und für die
>> daher private Adressen (RFC 1918) zurückgegeben werden? Wenn ja, kannst
>> du die Meldungen mit DNS_REBINDOK_* Definitionen unterdrücken. Wird aber
>> vermutlich relativ aufwendig, vor allem wenn der Pi-Hole seine
>> Sperrliste dynamisch von außen bezieht.
>
> pi-hole bezieht seine Filterlisten von außen und zwar dynamisch, d.h.
> die werden immer mal automatisch aktualisiert.
>
> Blocken tut der insofern, als dass er für eine unerwünschte Domain
> 0.0.0.0 bzw. :: zurück liefert, bspw. so:
>
>      adahl at ada ~ % host id.google.com
>      id.google.com has address 0.0.0.0
>      id.google.com has IPv6 address ::
>      id.google.com is an alias for id.l.google.com.
>
> Ob mein Client da jetzt noch eine Verbindung hin aufmacht oder das
> gleich als sinnlos erachtet, kann ich allerdings nicht sagen.

danke für die Info!

Dann stellt sich mir jetzt die Frage, wo die Adresse 172.16.0.1 in 
Boris' Log herkommt. Oder interpretiere ich die syslog-Meldung falsch:

> Local0.Warning    172.16.0.1    dnsmasq[18768]: possible DNS-rebind
> attack detected: securepubads.g.doubleclick.net

und das soll eigentlich heißen, dass der Upstream-DNS mit der Adresse 
172.16.0.1 die privaten Adressen geliefert hat? Fällt eine Auflösung auf 
0.0.0.0 für den dnsmasq ebenfalls unter "private Adressen" und löst 
daher die DNS-rebind attack Warnung aus?

Hans.


Mehr Informationen über die Mailingliste Fli4l_dev