(gelöst) DNS-Auflösung im LAN

[guennid]

Ich habe von Netzwerken nicht viel Ahnung. Ich bin nicht vom Fach und betreibe nur ein - wie ich meine - eher simples Heimnetz, außer Surfen Mailen Downloaden keine Internetkontakte, sag ich mal so, in meinem Unverstand. Meine Frage hier:

Ich habe bisher zwei Kauf-Router kennengelernt. Beide fungierten mit ihrer internen IP als DNS-Server. Hinter dem Kauf-Router steht eine Debian-Maschine als weiterer Router mit shorewall, also letztlich iptables-Konfiguration, als Firewall. Macht es einen sicherheitsrelevanten Unterschied, ob man den Maschinen im Heimnetz die interne IP des Debian-Routers oder die des Kaufrouters als DNS-Server angibt. Beides funktioniert.

[edit]
Titel geändert

[MSfree]

Macht es einen sicherheitsrelevanten Unterschied, ob man den Maschinen im Heimnetz die interne IP des Debian-Routers oder die des Kaufrouters als DNS-Server angibt.

Aus der Sicht der Rechner, die hinter deiner Shorewall hängen, ist der DNS auf dem Plastikrouter ein externer Namerserver. Ein sicherheitsrelevanter Unterschied ergibt sich nur dann, wenn du per iptables die Benuntzung von externen Nameservern verhinderst.

Es gibt Angriffsszenarien, bei denen Clients im LAN ein externer DNS untergejubelt wird. So ein untergejubelter DNS könnte dann Anfragen z.B. zu deiner Bank auf eine Phishingseite umbiegen oder die Anti-Virensignaturen (d)eines Windows-Virenscanners von einer falschen Seite runterladen lassen. Wenn du den DNS-Zugriff auf deinen eigene shorewall limitierst, können Clients, denen ein falscher DNS untergejubelt wurde, keine Namen mehr auflösen und bekommen entsprechende Fehlermeldungen, was einen dann zumindest stutzig machen sollte.

Nur der shorewall-Rechner selbst darf in so einem Fall Namen über externen DNS auflösen.

Beides funktioniert.

Das glaube ich allerdings nicht, denn der DNS deines Plastikrouters kann sicherlich nicht die Namen deiner Clients im LAN auflösen, der DNS der shorewall jedoch schon.

[guennid]

Nur der shorewall-Rechner selbst darf in so einem Fall Namen über externen DNS auflösen

So hatte ich mir das gedacht, und so würde ich es auch gerne einrichten, aber es ist so: Die clients hinter dem Shorewallrouter bekommen nicht nur über die interne IP dieses Gerätes, sondern auch über die interne IP des Kauf-Routers Internetadressen aufgelöst, wenn ich diese in ihrer jeweiligen resolv.conf angebe. Vielleicht muss ich erwähnen: Die interne IP des Kaufrouters ist in einem anderen Netz (192.168.3) als der Shorewall-Router und alle anderen Maschinen im Heimnetz (192.168.100) - ich bin halt, wie gesagt, alles andere als ein Netzwerkprofi. Zeig mir den Weg, wie ich das verhindere (Direkt-Zugriff eines clients auf den Nameserver des Kauf-Routers) und ich mach's.

[BenutzerGa4gooPh]

Kenne mich mit Shorewall nicht aus. Auf PFSense mache ich Portforwarding etwas ungewöhnlich:
Interface LAN, Inbound, Quelle ANY, Ziel-IP ANY, Ziel-Port DNS -> Portforwarding auf 127.0.0.1 (PFSense) Zielport DNS.
So macht immer die PFSense DNS, egal welche anderen DNS-Server Clients anfragen wollen. Sollte mit Shorewall analog funktionieren.
(Mit NTP mache ich das übrigens ebenso.)

[guennid]

@Jana66
So, wie du hier offenbar die einzige bist, die mit PFSense arbeitet, bin ich offenbar der einzige, der hier shorewall bemüht. Ist irgendie so wie mit den Königskindern. Jedenfall ist shorewall das einzige - leider wichtige - Thema zu dem ich hier kaum Hilfe finde. Aber warten wir ab, ob jemand /niemand? sonst noch was Schlaues einfällt.

[BenutzerGa4gooPh]

http://shorewall.org/FAQ.htm#PortForwarding + meine PFSense AW = ???

[guennid]

Das ist für mich leider zu Englisch und auch zu abstrakt Fachchinesisch. Ich hätte da hundert Nachfragen, um das einigermaßen auf meine Bedürfnisse übertragen zu können. Das scheint mir - jedenfalls was mich angeht - ein Hauptproblem mit Shorewall zu sein: Kaum deutschsprachige Info.

[BenutzerGa4gooPh]

Einfache Möglichkeit:
REJECT aller Anfragen auf dem LAN-Port der Shorewall (Direction Inbound) mit Ziel tcp/udp/Port53 (=DNS) die NICHT zum Default-Gateway der Clients (= IP des LAN-Interfaces der Shorewall) gehen.
Ich denke mal, auch Shorewall kann eine IP "invertieren".
Block/Drop würde ich wegen Timeout im LAN nicht nehmen.

MSFree schrieb analog:

Wenn du den DNS-Zugriff auf deinen eigene shorewall limitierst, können Clients, denen ein falscher DNS untergejubelt wurde, keine Namen mehr auflösen und bekommen entsprechende Fehlermeldungen, was einen dann zumindest stutzig machen sollte.
Nur der shorewall-Rechner selbst darf in so einem Fall Namen über externen DNS auflösen.

Jetzt mache was draus, ist eine einzige Regel an der richtigen Stelle/Reihenfolge wegen First Match!

[guennid]

Wenn ich recht sehe, dann meinst du, ich solle in /etc/shorewall/rules die Einträge

Code: Alles auswählen

DNS(ACCEPT)     $FW             net
DNS(ACCEPT)     loc             $FW

ergänzen um

Code: Alles auswählen

DNS(REJECT)  loc  net

- richtig?

Diese Schreibweise (DNS(ACCEPT/REJECT)) wird shorewall-intern als "Makro" bezeichne - glaube ich, wobei mir schon nicht klar ist, was ich hier unter einem "Makro" verstehen darf/soll, aber das führt wohl eher auf ein Nebengleis. Wenn nicht: bemerkt haben wollt' ich's.

[MSfree]

Die clients hinter dem Shorewallrouter bekommen nicht nur über die interne IP dieses Gerätes, sondern auch über die interne IP des Kauf-Routers Internetadressen aufgelöst, wenn ich diese in ihrer jeweiligen resolv.conf angebe.

Naja, das ließe sich ja problemlos ändern, indem du nur den DNS der Shorewall in die resolv.conf einträgst. Jede Namensanfrage geht dann an den Shorewall-DNS und wenn der den Namen nicht auflösen kann, fragt die Shorewall den DNS deines Plastikrouters und der gibt die Anfrage an die DNS im Internet weiter.

Du mußt dann eigentlich nur noch das Forwarding von Port 53 bei der Shorewall verbieten, dann kann kein Client mehr direkt den DNS des Plastikrouters oder irgendeinen DNS im Internet anfragen.

Ich habe zwar keine Shorewall laufen sondern ich habe mir den Router direkt aus Debian mit dem Editor in der Textkonsole konfiguriert. Aber im Prinzip mache ich hier genau das, nämlich daß Clients nur den DNS meines Routers benutzen dürfen.

[guennid]

Meine Überlegung zu Janas Vorschlag funktioniert tatsächlich! Danke.

Naja, das ließe sich ja problemlos ändern, indem du nur den DNS der Shorewall in die resolv.conf einträgst.

Das wäre dann die Konsequenz - richtig?

Leider hat die Sache noch einen Haken: Ein paar Rechner im Heimnetz, die nur über WLAN erreichbar sind, liegen in einem weiteren Netz (192.168.1) und die krieg ich z.Z. nur ins Internet, wenn ich als DNS-Server den Plastikrouter angebe.

Auszug aus der interfaces des Routers für diesen Netzteil (192.168.1):

Code: Alles auswählen

iface eth1 inet static
        address 192.168.1.110
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        up route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.100.110 dev wlan0

auto wlan0
iface wlan0 inet static
        address 192.168.100.110
        netmask 255.255.255.0
        network 192.168.100.0
        broadcast 192.168.100.255
        gateway 192.168.100.251
        dns-nameservers 192.168.100.251
	[...]

192.168.100. ist das Netz des Shorewall-Routers
192.168.100.251 ist seine IP

[BenutzerGa4gooPh]

Meine Überlegung zu Janas Vorschlag funktioniert tatsächlich! Danke.

Also ich kann mit der Terminologie von Shorewall wenig anfangen. Bevor du dich zu früh freust, mal testen.
In einen Client öffentlichen DNS eintragen oder per DHCP-Server mitgeben. Z. B. einfach 8.8.8.8 (Google). Nur zum Test.
Surfen auf neue Adressen müsste ausfallen, ping auf 8.8.8.8 geht, auf http://www.google.de nicht. Wenn die Regel funktioniert.

Nur zur Info: Deine beiden Router machen bestimmt nur Weiterleitung auf andere, öffentliche DNS. Könnte demzufolge interessant sein, zu wechseln, andere einzutragen: http://www.ccc.de/censorship/dns-howto/
(Ist auch deutsch und gut lesbar. )

Edit: Den zweiten Teil des letzten Beitrags habe ich vor dem Schreiben nicht gelesen.

[guennid]

Also, mit öffentlichem DNS habe ichs nicht getestet, müsste ich erst im Plastikrouter suchen. Aber mit seiner internen IP funktioniert der Test: ping eines clients auf 8.8.8.8 geht, auf www.google.de nicht. Ist das nicht ausreichend?

[BenutzerGa4gooPh]

ping eines clients auf 8.8.8.8 geht, auf http://www.google.de nicht.

Wäre korrekt, wenn der Client einen von dir ungewollten, aktiven DNS benutzt. Hast du vmtl. per Falscheintrag in der resolv.conf eines Debian-PC getestet? Geht ja auch so. Sollte aber ein aktiver und erreichbarer "falscher" DNS sein. Sonst trügerische Sicherheit ...
Am besten wäre, die Shorewall-Log nach dem fehlgeschlagen ping <Name> prüfen.

[guennid]

Hast du vmtl. per Falscheintrag in der resolv.conf eines Debian-PC getestet?

Korrekt!

Sollte aber ein aktiver "falscher" DNS sein.

???
Die interne IP des Archer ist doch "aktiv"? Oder versteh' ich wieder was nicht?

So, das Hauptproblem scheint gelöst. Aber was ist jetzt mit dem 192.168.1.0 er Netz. Da scheint's ohne die IP des Plastikrouters nicht zu laufen und die blockt jetzt shorewall auf dem Debian-Router.

[BenutzerGa4gooPh]

Die interne IP des Archer ist doch "aktiv"? Oder versteh' ich wieder was nicht?

Nein, alles verstanden. Der Archer ist ein Weiterleitungsserver, akiv und "ungewollt", Anfragen von Shorewall offenbar zurückgewiesen.

Fragen zum anderen Problem:
Auf dem internen Shorewall-Router läuft welcher DNS-Server (Programm/Paketname)?
Welche öffentlichen DNS-Server fragt dieser interne DNS-Server an?
Warum nicht einfach dem Archer-DNS den/die gleichen öffentlichen Server "verklingeln", die auch der interne "Shorewall-Router-DNS anfragt? Kleine Access-Liste (analog Shorewall) auf dem Archer für eventuell fehlkonfigurierte/kompromittierte Clients dazu.

[guennid]

Auf dem internen Shorewall-Router läuft welcher DNS-Server (Programm/Paketname)?

Ich dachte, gar keiner, der Router leitet weiter an den Plastikrouter? Schon lange her, als ich den Router eingerichtet habe.

Welche öffentlichen DNS-Server fragt dieser interne DNS-Server an?

Wenn ich das im Plastikrouter richtig deute, dann die IP 217.0.43.113. Im shorewall ist aber nur die interne IP des Plastikrouters eingetragen.

[BenutzerGa4gooPh]

Ich dachte, gar keiner, der Router leitet weiter an den Plastikrouter?

Kann durchaus sein, aber irgendein Paket/Modul macht das, wahrscheinlich dnsmasq oder die resolv.conf.

Wenn ich das im Plastikrouter richtig deute, dann die IP 217.0.43.113. Im shorewall ist aber nur die interne IP des Plastikrouters eingetragen.

IP Address: 217.0.43.113
Host of this IP: f-nxr-a01.isp.t-ipnet.de
Organization: Deutsche Telekom AG

Also fragen deine beiden Weiterleitungsserver einunddenselben öffentlichen DNS der Telekom ab. Der Shorewall-Router-DNS über den Umweg Archer.

Was spricht nun gegen:

Warum nicht einfach dem Archer-DNS den/die gleichen öffentlichen Server "verklingeln", die auch der interne "Shorewall-Router-DNS anfragt? Kleine Access-Liste (analog Shorewall) auf dem Archer für eventuell fehlkonfigurierte/kompromittierte Clients dazu.

Der erste Satz ist bereits Realität.

Falls dir der Telekom-DNS nicht passt, ich hatte oben was vom CCC verlinkt, ich kenne doch meine Aluhuete. Musst nur den Eintrag (IP des öffentlichen DNS) im Archer ändern.

[guennid]

Falls dir der Telekom-DNS nicht passt, ich hatte oben was vom CCC verlinkt, ich kenne doch meine Aluhuete.

Ja, ja, ja, habe ich mir schon angeguckt - aber das ist nachrangig. Erstmal geht's darum, dass alle Maschinen im Heimnetz überhaupt einen kriegen und zwar möglichst, ohne den Shorewall zu umgehen. Im Shorewall-Netz (192.168.100.0) funktioniert das ja auch, aber nocht nicht im nachgelagerten 192.168.1.0.

dnsmasq wird benutzt.

[BenutzerGa4gooPh]

Hatte ich wahrscheinlich falsch verstanden. Mein letzter Vorschlag bezog sich auf das WLAN des Archers, wo du m. E. den Tolino betreibst.

Das "nachgelagerte" 192.168.1.0 ist das interne Netz des Shorewall-Routers, direkt an dem angeschlossen? 192.168.100.0 das externe "Transfernetz" zwischen Archer und Shorewall?

[guennid]

Also, der Archer ist im Netz 192.168.3.0 (und auch nur der)
Der Shorewall ist im Netz 192.168.100.0 (mitsamt einigen Clients)
und dann gibt's noch das Netz 192.68.1.0 (mitsamt einigen clients und einem weiteren Router (192.168.1.110/192.168.100.110), der deren Anfagen ins Netz 192.168.100.0 und darüber hinaus an den Archer und damit ins Internet weiterleitet.

Für die Nichtinsider: Archer=Plastikrouter

Nachdem das mit der shorewall-config für das 100er Netz geklärt war, hätte ich hier aufhören und einen neuen Thread aufmachen sollen. Aber die Freude darüber war zu groß, ich konnte der Versuchung, weiterzumachen nicht widerstehen.
Wahrscheinlich werde ich gleich gesteinigt!

Also das wlan des Archer/Tolino können wir, denke ich, wirklich hier draußen lassen.

[BenutzerGa4gooPh]

Wahrscheinlich werde ich gleich gesteinigt!

Ja. Wegen schlechter Erläuterungen.
Mach doch einfach einen Netzplan, hier eine Vorlage zum Kopieren/Anpassen:

WAN (Internet/DSL)
|
Archer mit NAT ---- WLAN ---- Netz 1 ---- WLAN-Clients 1
|
Netz 2 --- Hosts 2 (evtl. WLAN-Clients in diesem Netz, Netz 1 fehlt )
|
Shorewall
|
Netz 3 --- Hosts 3
|
noch ein Router?
|
Netz 4
|
Hosts 4

Wenn du über IPs reden willst, Netze x mit IPs korrigieren/erweitern. Ansonsten können wir gerne auch nur von Netz x / Host x reden - mit gleicher Grundlage.
Die funktionierende Shorewall-Regel für DNS-Anfragen wurde für Netz 3 (entsprechendes Interface) erstellt? Jedenfalls hatte ICH das so gemeint.

[guennid]

Ich muss mich erst sortieren, morgen mehr.

[guennid]

Netzplan

[MSfree]

Netzplan

So, wie du es aufgezeichnet hast, müßte sich DNS von dem einen Nameserver auf der Shorewall bewerkstelligen lassen.

Gibt es einen besonderen Grund, warum du das 192.168.1.00/24-Netz nochmal vom Rest separiert hast?