Problem gelöst (hoffe ich):
Statt uns auf den Shorewall zu fixieren, hätten wir besser den "hinteren" Router unter die Lupe genommen (dessen /etc/network/interfaces hatte ich zwar schon mal gepostet, aber an der lag's nicht). Ausgehend von MSfrees Hinweis, ob der überhaupt NAT macht, habe ich mich dann mal auf den konzentriert und das Modul ip_tables in den Kern kompiliert und versucht, die Maschine damit zu konfigurieren. Das war wohl auch eine Sackgasse. Aber:
Sämtliche hosts im lan waren auf diesem Router, der das Netz 192.168.1.0/24 mit dem 192.168.100./24 (besser so?
) verbindet, in /etc/hosts gelistet und in der /etc/resolv.conf war die interne IP des shorewall eingetragen. Das genügte aber nicht. Nachdem ich jetzt auch auf diesem Router
dnsmasq nachinstalliert habe und den clients in 192.168.1.0/24 in ihrer /etc/resolv.conf die interne IP dieses Routers als nameserver eingetragen habe, funktioniert jetzt die Namensauflösung (mit Kern ohne ip_tables getestet) wie gewünscht.
So Jana und MSfree, jetzt dürft ihr mich hauen, aber auch nachdem ich den kompletten Thread heute morgen noch mal durchgegangen bin, habe ich keine Rückfragen gefunden, die mich in diese Richtung geschubst hätten. Das ist bitte absolut nicht als Kritik zu verstehen, sondern nur als Entschuldigung meinerseits, warum ich auf diese Idee nicht schon früher gekommen bin.
Dazu unten mehr.
Die Ausgangsfrage war ja, ob das Procedere, die Namensauflösung ausschließlich über die shorewall zu regeln, mein Netz etwas sicherer machen könnte. Gehe ich recht in der Annahme, dass da jetzt noch das entscheidende Bauteilchen fehlt: Statt die DNS-Anfragen in der shorewall einfach auf den Plastikrouter weiterzuleiten, sollte ich dort und nur dort, einen "echten" Nameserver angeben, z.B. den von Jana verlinkten des CCC?
Nichtsdestotrotz: Vielen Dank für deine Mühe, Jana!
Ich denke, ich habe trotz der "Irrfahrten" einiges dazugelernt. Und werde mit dem neuen Wissen auch noch einiges rumexperimentieren
Was meine (etwas?
) chaotische IP-Zahlenvergabe betrifft: auch das hat historische Gründe. So ist das eben, wenn ein Nichtexperte, expertenmäßig loslegt ("Experten [...] fangen einfach an." ,O-Ton Jana
). Ich werde das, wenn ich Zeit finde, mal nach Janas Hinweisen etwas übersichtlicher sortieren.
Nebenbei:
Die im deutschsprachigen Internet zu findenden Informationen über dnsmasq haben mich meistens eher verwirrt als weitergebracht. Mit DNS hält man sich da meist nicht lange auf, sondern beschreibt ausführlich seine DHCP-Server-Funktionalität.
. Am besten klar gemacht, dass das Teil die Bezeichnung DNS-
Server nur bedingt verdient, hat mir das hier:
Für die DNS-Funktionalität wird auf die Dateien /etc/hosts und /etc/resolv.conf zurückgegriffen, die keinerlei Dnsmasq-spezifischer Anpassung bedürfen, und weiterhin standardkonform verwendet werden können. Dieses Verhalten kann allerdings angepasst werden. Die DHCP-Funktionalität wird in der Konfigurationsdatei von Dnsmasq angepasst.
(1). Das kann man zwar so ähnlich auch sonstwo lesen, z.B. hier (2), aber erst das Arch-Wiki brachte mich auf den Trichter, dass, nutzt ein Laie wie ich nur die DNS-Funktionalität, er vergeblich nach einer Fehlkonfiguration in der dnsmasq-config sucht, wenn die Namensauflösung nicht klappt.
(1)
https://wiki.archlinux.de/title/Dnsmasq
(2)
https://wiki.ubuntuusers.de/Dnsmasq/
Grüße, Günther