Gelöst iptables kennt nur die IP vom Vorabend

[mat6937]

Vielleicht doch nochmal ne Überlegung wert: Woher nimmt denn die Firewall die Information, das mein Rechner gestern die 119 hatte. Wird dies beim Herunterfahren irgendwo abgelegt ?

Was genau meinst Du mit "Herunterfahren"? Wie hast Du die Firewall-Regel, die "Namensauflösung" beim aktivieren machen soll eingegeben? Über ein Script oder manuell oder ...? Da diese IP-Adresse ja ein "Herunterfahren" anscheinend "überlebt" hat, muss ja irgendwo in deinem System, für Persistenz dieser Regel gesorgt sein, oder?

[PinguFan]

Herunterfahren heißt für mich per Netz-Taster am Gehäuse, oder init 0 oder shutdown -h.
Regel oder Script gibt es nicht.

Woher iptables die Information heute morgen bekam, weiß ich nicht.
Könnte auch der Cache des bind9 gewesen sein.
Ein

Code: Alles auswählen

iptables -S FORWARD

zeigt mir aktuell:

Code: Alles auswählen

-A FORWARD -s 192.168.3.119/32 -p tcp -m multiport --ports 80,443 -j ACCEPT
-A FORWARD -s 192.168.3.119/32 -p udp -m multiport --ports 80,443 -j ACCEPT

Und das obwohl ich schon den ganzen Tag die 114 habe.
Ich sehe gestern abend:

Code: Alles auswählen

Jan  3 21:12:15 pingu02 dhcpd[1025]: DHCPOFFER on 192.168.3.119 to 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan  3 21:12:15 pingu02 dhcpd[1025]: Adap-lease: Total: 26, Free: 18, Ends: 119, Adaptive: 300, Fill: 30, Threshold: 70
Jan  3 21:12:15 pingu02 dhcpd[1025]: DHCPREQUEST for 192.168.3.119 (192.168.3.100) from 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan  3 21:12:15 pingu02 dhcpd[1025]: DHCPACK on 192.168.3.119 to 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan  3 21:12:15 pingu02 dhcpd[1025]: Forward map from nh532.fritz.box to 192.168.3.119 FAILED: Has an address record but no DHCID, not mine.
Jan  3 21:13:33 pingu02 dhcpd[1025]: Adap-lease: Total: 26, Free: 17, Ends: 119, Adaptive: 300, Fill: 34, Threshold: 70
Jan  3 21:36:09 pingu02 dhcpd[1025]: DHCPREQUEST for 192.168.3.119 from 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan  3 21:36:09 pingu02 dhcpd[1025]: DHCPACK on 192.168.3.119 to 9c:4e:36:c8:ed:40 (nh532) via eth0
Jan  3 21:36:09 pingu02 dhcpd[1025]: Forward map from nh532.fritz.box to 192.168.3.119 FAILED: Has an address record but no DHCID, not mine.

Wenn also iptables vom bind9-Cache während des Bootens erfahren sollte, daß nh532 die 119 hatte, dann könnte das doch auch nicht nur beim Booten, sondern im laufenden Betrieb passieren.
PinguFan

[mat6937]

Könnte auch der Cache des bind9 gewesen sein.

Ja, das könnte sein, aber dann ist bind9 & Co. nicht richtig konfiguriert?

Wenn also iptables vom bind9-Cache während des Bootens erfahren sollte, daß nh532 die 119 hatte, dann könnte das doch auch nicht nur beim Booten, sondern im laufenden Betrieb passieren.

Ja, das kann auch im laufenden Betrieb passieren, _wenn_ man im laufenden Betrieb die iptables-Regel löscht und erneut aktiviert.

[PinguFan]

bind9 falsch konfiguriert kann sein.
named.conf.options:

Code: Alles auswählen

options {
        directory "/var/cache/bind";
        managed-keys-directory "/var/cache/bind";
        auth-nxdomain no;    # conform to RFC1035
        listen-on { 127.0.0.1; 192.168.3.100; 10.0.0.1; 10.10.10.6; };
        listen-on-v6 { none; };
        allow-query { 127.0.0.1; 192.168.3.0/24; 10.0.0.0/24; 10.10.10.0/24; };
        recursion yes;
        allow-recursion { 127.0.0.1; 192.168.3.0/24; 10.0.0.0/24; 10.10.10.0/24; };
        allow-notify { localnets; };
        forwarders { 192.168.3.1; };
        forward first;
        version "REFUSED";
        };

logging {
        channel default_syslog {
                file "/var/log/bind/bind9.log" versions 3 size 2M;
                severity info;
                print-time yes;
                print-category yes;
                };
        channel syslog_errors {
                file "/var/log/bind/bind9.log" versions 3 size 2M;
                severity error;
                print-time yes;
                print-category yes;
                };
        };

named.conf.local:

Code: Alles auswählen

include "/etc/bind/rndc.key";

zone "fritz.box" {
   type master;
   file "/var/cache/bind/db.fritz.box";
   allow-update { key "rndc-key"; };
   allow-transfer { any; };
 };
zone "3.168.192.in-addr.arpa" {
   type master;
   file "/var/cache/bind/db.192.168.3";
   allow-update { key "rndc-key"; };
   allow-transfer { any; };
 };
zone "fahager" {
   type slave;
   file "/var/cache/bind/db.fahager";
   masters { 192.168.2.254; };
 };
zone "2.168.192.in-addr.arpa" {
   type slave;
   file "/var/cache/bind/db.192.168.2";
   masters { 192.168.2.254; };
 };

controls {
   inet 127.0.0.1 port 953
   allow { 127.0.0.1; } keys {"rndc-key"; };
 };

Ja, das kann auch im laufenden Betrieb passieren, _wenn_ man im laufenden Betrieb die iptables-Regel löscht und erneut aktiviert.

Habe ich gemacht. Zumindest denke ich das. Ich habe mehrfach iptables neu gestartet.
Da drin steht:

Code: Alles auswählen

### L Ö S C H E N ###
/sbin/iptables -F
#/sbin/iptables -X
#/sbin/iptables -t nat -F


### A L L E S B L O C K I E R E N ###
/sbin/iptables --policy INPUT DROP
/sbin/iptables --policy FORWARD DROP
/sbin/iptables --policy OUTPUT ACCEPT 
..... 
......

Damit lösche ich alle Regeln und lege nachfolgend alles neu an.
PinguFan

[mat6937]

Habe ich gemacht. Zumindest denke ich das. Ich habe mehrfach iptables neu gestartet.

Damit lösche ich alle Regeln und lege nachfolgend alles neu an.

Wenn nur eine einzige Regel DNS machen muss/soll, dann musst Du nicht alle Regeln löschen. Es reicht nur die betreffende Regel zu löschen und erneut zu aktivieren.

[PinguFan]

Okay,

ich schau mal was sich morgen zeigt. An der Konfiguration kann ich jetzt nichts fehlerhaftes sehen.
Vielleicht finde ich mal noch was zur Aktualisierung im laufenden Betrieb. Das wäre zweifellos die eleganteste Methode.
PinguFan.

[mat6937]

An der Konfiguration kann ich jetzt nichts fehlerhaftes sehen.

Evtl. mal zum _richtigen/gewünschten_ Zeitpunkt testen:

Code: Alles auswählen

host -t A nh532.fritz.box
host -t A nh532.fritz.box 192.168.178.1
host -t A nh532.fritz.box <IP-Adresse-bind9>
cat /etc/resolv.conf

[heisenberg]

iptables arbeitet afaik grundsätzlich auf IP-Basis. Wenn Du in den Regeln hostnamen verwendest, dann werden die exakt 1x per DNS aufgelöst: Beim anwenden der Regel. Das bedeutet bei Dir wahrscheinlich in dem Script, das beim Rechnerstart die Regeln aktiviert.

[PinguFan]

Hallo Alle,

möchte auflösen.
Die Vergabe von unterschiedlichen Hostnamen für Windoof und Linux reichte aus.
Jedes Betriebssystem hat dadurch eine eigene IP, der plötzliche Wechsel von WLAN auf LAN dürfte keine Probleme machen, da ja unterschiedliche MACś die IP anfragen.
Danke
Andreas