Was genau meinst Du mit "Herunterfahren"? Wie hast Du die Firewall-Regel, die "Namensauflösung" beim aktivieren machen soll eingegeben? Über ein Script oder manuell oder ...? Da diese IP-Adresse ja ein "Herunterfahren" anscheinend "überlebt" hat, muss ja irgendwo in deinem System, für Persistenz dieser Regel gesorgt sein, oder?PinguFan hat geschrieben:04.01.2018 17:50:00Vielleicht doch nochmal ne Überlegung wert: Woher nimmt denn die Firewall die Information, das mein Rechner gestern die 119 hatte. Wird dies beim Herunterfahren irgendwo abgelegt ?
Gelöst iptables kennt nur die IP vom Vorabend
Re: iptables kennt nur die IP vom Vorabend
Re: iptables kennt nur die IP vom Vorabend
Herunterfahren heißt für mich per Netz-Taster am Gehäuse, oder init 0 oder shutdown -h.
Regel oder Script gibt es nicht.
Woher iptables die Information heute morgen bekam, weiß ich nicht.
Könnte auch der Cache des bind9 gewesen sein.
Ein zeigt mir aktuell:
Und das obwohl ich schon den ganzen Tag die 114 habe.
Ich sehe gestern abend:
Wenn also iptables vom bind9-Cache während des Bootens erfahren sollte, daß nh532 die 119 hatte, dann könnte das doch auch nicht nur beim Booten, sondern im laufenden Betrieb passieren.
PinguFan
Regel oder Script gibt es nicht.
Woher iptables die Information heute morgen bekam, weiß ich nicht.
Könnte auch der Cache des bind9 gewesen sein.
Ein
Code: Alles auswählen
iptables -S FORWARD
Code: Alles auswählen
-A FORWARD -s 192.168.3.119/32 -p tcp -m multiport --ports 80,443 -j ACCEPT
-A FORWARD -s 192.168.3.119/32 -p udp -m multiport --ports 80,443 -j ACCEPT
Und das obwohl ich schon den ganzen Tag die 114 habe.
Ich sehe gestern abend:
Code: Alles auswählen
Jan 3 21:12:15 pingu02 dhcpd[1025]: DHCPOFFER on 192.168.3.119 to 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan 3 21:12:15 pingu02 dhcpd[1025]: Adap-lease: Total: 26, Free: 18, Ends: 119, Adaptive: 300, Fill: 30, Threshold: 70
Jan 3 21:12:15 pingu02 dhcpd[1025]: DHCPREQUEST for 192.168.3.119 (192.168.3.100) from 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan 3 21:12:15 pingu02 dhcpd[1025]: DHCPACK on 192.168.3.119 to 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan 3 21:12:15 pingu02 dhcpd[1025]: Forward map from nh532.fritz.box to 192.168.3.119 FAILED: Has an address record but no DHCID, not mine.
Jan 3 21:13:33 pingu02 dhcpd[1025]: Adap-lease: Total: 26, Free: 17, Ends: 119, Adaptive: 300, Fill: 34, Threshold: 70
Jan 3 21:36:09 pingu02 dhcpd[1025]: DHCPREQUEST for 192.168.3.119 from 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan 3 21:36:09 pingu02 dhcpd[1025]: DHCPACK on 192.168.3.119 to 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan 3 21:36:09 pingu02 dhcpd[1025]: Forward map from nh532.fritz.box to 192.168.3.119 FAILED: Has an address record but no DHCID, not mine.
Wenn also iptables vom bind9-Cache während des Bootens erfahren sollte, daß nh532 die 119 hatte, dann könnte das doch auch nicht nur beim Booten, sondern im laufenden Betrieb passieren.
PinguFan
Re: iptables kennt nur die IP vom Vorabend
Ja, das könnte sein, aber dann ist bind9 & Co. nicht richtig konfiguriert?
Ja, das kann auch im laufenden Betrieb passieren, _wenn_ man im laufenden Betrieb die iptables-Regel löscht und erneut aktiviert.PinguFan hat geschrieben:04.01.2018 18:25:09Wenn also iptables vom bind9-Cache während des Bootens erfahren sollte, daß nh532 die 119 hatte, dann könnte das doch auch nicht nur beim Booten, sondern im laufenden Betrieb passieren.
Re: iptables kennt nur die IP vom Vorabend
bind9 falsch konfiguriert kann sein.
named.conf.options:
named.conf.local:
Da drin steht:
Damit lösche ich alle Regeln und lege nachfolgend alles neu an.
PinguFan
named.conf.options:
Code: Alles auswählen
options {
directory "/var/cache/bind";
managed-keys-directory "/var/cache/bind";
auth-nxdomain no; # conform to RFC1035
listen-on { 127.0.0.1; 192.168.3.100; 10.0.0.1; 10.10.10.6; };
listen-on-v6 { none; };
allow-query { 127.0.0.1; 192.168.3.0/24; 10.0.0.0/24; 10.10.10.0/24; };
recursion yes;
allow-recursion { 127.0.0.1; 192.168.3.0/24; 10.0.0.0/24; 10.10.10.0/24; };
allow-notify { localnets; };
forwarders { 192.168.3.1; };
forward first;
version "REFUSED";
};
logging {
channel default_syslog {
file "/var/log/bind/bind9.log" versions 3 size 2M;
severity info;
print-time yes;
print-category yes;
};
channel syslog_errors {
file "/var/log/bind/bind9.log" versions 3 size 2M;
severity error;
print-time yes;
print-category yes;
};
};
Code: Alles auswählen
include "/etc/bind/rndc.key";
zone "fritz.box" {
type master;
file "/var/cache/bind/db.fritz.box";
allow-update { key "rndc-key"; };
allow-transfer { any; };
};
zone "3.168.192.in-addr.arpa" {
type master;
file "/var/cache/bind/db.192.168.3";
allow-update { key "rndc-key"; };
allow-transfer { any; };
};
zone "fahager" {
type slave;
file "/var/cache/bind/db.fahager";
masters { 192.168.2.254; };
};
zone "2.168.192.in-addr.arpa" {
type slave;
file "/var/cache/bind/db.192.168.2";
masters { 192.168.2.254; };
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys {"rndc-key"; };
};
Habe ich gemacht. Zumindest denke ich das. Ich habe mehrfach iptables neu gestartet.Ja, das kann auch im laufenden Betrieb passieren, _wenn_ man im laufenden Betrieb die iptables-Regel löscht und erneut aktiviert.
Da drin steht:
Code: Alles auswählen
### L Ö S C H E N ###
/sbin/iptables -F
#/sbin/iptables -X
#/sbin/iptables -t nat -F
### A L L E S B L O C K I E R E N ###
/sbin/iptables --policy INPUT DROP
/sbin/iptables --policy FORWARD DROP
/sbin/iptables --policy OUTPUT ACCEPT
.....
......
PinguFan
Re: iptables kennt nur die IP vom Vorabend
Wenn nur eine einzige Regel DNS machen muss/soll, dann musst Du nicht alle Regeln löschen. Es reicht nur die betreffende Regel zu löschen und erneut zu aktivieren.PinguFan hat geschrieben:04.01.2018 19:53:56
Habe ich gemacht. Zumindest denke ich das. Ich habe mehrfach iptables neu gestartet.
Damit lösche ich alle Regeln und lege nachfolgend alles neu an.
Re: iptables kennt nur die IP vom Vorabend
Okay,
ich schau mal was sich morgen zeigt. An der Konfiguration kann ich jetzt nichts fehlerhaftes sehen.
Vielleicht finde ich mal noch was zur Aktualisierung im laufenden Betrieb. Das wäre zweifellos die eleganteste Methode.
PinguFan.
ich schau mal was sich morgen zeigt. An der Konfiguration kann ich jetzt nichts fehlerhaftes sehen.
Vielleicht finde ich mal noch was zur Aktualisierung im laufenden Betrieb. Das wäre zweifellos die eleganteste Methode.
PinguFan.
Re: iptables kennt nur die IP vom Vorabend
Evtl. mal zum _richtigen/gewünschten_ Zeitpunkt testen:PinguFan hat geschrieben:04.01.2018 20:07:54An der Konfiguration kann ich jetzt nichts fehlerhaftes sehen.
Code: Alles auswählen
host -t A nh532.fritz.box
host -t A nh532.fritz.box 192.168.178.1
host -t A nh532.fritz.box <IP-Adresse-bind9>
cat /etc/resolv.conf
- heisenberg
- Beiträge: 3542
- Registriert: 04.06.2015 01:17:27
- Lizenz eigener Beiträge: MIT Lizenz
Re: iptables kennt nur die IP vom Vorabend
iptables arbeitet afaik grundsätzlich auf IP-Basis. Wenn Du in den Regeln hostnamen verwendest, dann werden die exakt 1x per DNS aufgelöst: Beim anwenden der Regel. Das bedeutet bei Dir wahrscheinlich in dem Script, das beim Rechnerstart die Regeln aktiviert.
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Gelöst Re: iptables kennt nur die IP vom Vorabend
Hallo Alle,
möchte auflösen.
Die Vergabe von unterschiedlichen Hostnamen für Windoof und Linux reichte aus.
Jedes Betriebssystem hat dadurch eine eigene IP, der plötzliche Wechsel von WLAN auf LAN dürfte keine Probleme machen, da ja unterschiedliche MACś die IP anfragen.
Danke
Andreas
möchte auflösen.
Die Vergabe von unterschiedlichen Hostnamen für Windoof und Linux reichte aus.
Jedes Betriebssystem hat dadurch eine eigene IP, der plötzliche Wechsel von WLAN auf LAN dürfte keine Probleme machen, da ja unterschiedliche MACś die IP anfragen.
Danke
Andreas