debian nft und FQDN für ip daddr

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

debian nft und FQDN für ip daddr

Beitrag von joe2017 » 30.11.2021 12:52:35

Wie mein Betreff schon beschreibt würde ich geren in der nft einen Eintrag für eine Domain als daddr freigeben.

Beispiel:

Code: Alles auswählen

table ip nat {
  chain postrouting {
    tcp dport 443 ip saddr 192.168.1.1 ip daddr { google.de, debian.de } masquerade comment "HTTPS"
  }
}
Mit IP Adressen funktioniert das. Ich habe gehofft, dass es auch mit FQDN geht.
Hat hier jemand eine Info ob das möglich ist?

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: debian nft und FQDN für ip daddr

Beitrag von JTH » 30.11.2021 13:10:23

Hmm, ohne mich an der Stelle besonders auszukennen rate ich mal: Nein, das geht nicht, weil der Netzwerkstack an der Stelle überhaupt keine Hostnamen mehr kennt.
Manchmal bekannt als Just (another) Terminal Hacker.

Benutzeravatar
MSfree
Beiträge: 10683
Registriert: 25.09.2007 19:59:30

Re: debian nft und FQDN für ip daddr

Beitrag von MSfree » 30.11.2021 13:33:02

JTH hat geschrieben: ↑ zum Beitrag ↑
30.11.2021 13:10:23
Hmm, ohne mich an der Stelle besonders auszukennen rate ich mal: Nein, das geht nicht...
Eigentlich sollte es gehen, es ist aber mit Einschränkungen verbunden. Der DNS-Lookup wird genau einmal ausgeführt, nämlich beim Initialisieren der NF-Tabellen. Sollte sich die IP-Adresse später ändern oder man hat es mit Clustern mit vielen IP-Adressen wie Google zu tun, dann landet nur die IP-Adresse in der NF-Tabelle, die beim initialen DNS-Lookup bestimmt wurde.

iptables hat das gleiche Problem. Man kann zwar Hostnamen in die Aufrufe eintragen, aber eindeutig ist es nur für einfache Hosts mit eindeutiger IP-zu-Hostname-Beziehung. Es funktioniert aber nicht für Cluster und auch nicht für dynamische IP-Adressen wie bei DSL-Anschlüssen.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: debian nft und FQDN für ip daddr

Beitrag von joe2017 » 30.11.2021 14:58:34

In meinem Fall wird es sich um FQDN handeln welche sich in einer Amazon Cloud befinden.
Somit werden sich die IP Adressen öfter einmal ändern. Wenn ich fixe IP Adressen hätte würde ich selbstverständlich die IP´s eintragen.

Aber wie sieht die Syntax mit den FQDN aus? Hier erhalte ich immer eine Fehlermeldung das die Syntax falsch ist.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: debian nft und FQDN für ip daddr

Beitrag von mat6937 » 30.11.2021 15:23:02

joe2017 hat geschrieben: ↑ zum Beitrag ↑
30.11.2021 14:58:34
In meinem Fall wird es sich um FQDN handeln welche sich in einer Amazon Cloud befinden.
Somit werden sich die IP Adressen öfter einmal ändern.
Dann könntest Du die FQDNs die diese IP-Adressen "erzeugen", überwachen (mit einem dns-tool) und die resultierenden IP-Adressen mit ipset verwalten. IP sets kannst Du mit iptables-Regeln (evtl. auch mit nftables) benutzen. D. h. wenn sich im ipset etwas geändert hat, muss die iptables-Regel neu geladen/aktualisiert werden.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: debian nft und FQDN für ip daddr

Beitrag von joe2017 » 03.12.2021 07:36:56

mat6937 hat geschrieben: ↑ zum Beitrag ↑
30.11.2021 15:23:02
Dann könntest Du die FQDNs die diese IP-Adressen "erzeugen", überwachen (mit einem dns-tool) und die resultierenden IP-Adressen mit ipset verwalten. IP sets kannst Du mit iptables-Regeln (evtl. auch mit nftables) benutzen. D. h. wenn sich im ipset etwas geändert hat, muss die iptables-Regel neu geladen/aktualisiert werden.
Das ist zumindest mal ein Ansatz. Die Domains vorher in IP Adressen auflösen und dynamisch als Variable in die nftable eintragen.
Ich mach mir mal Gedanken. Aber vielen Dank schon mal.

Sollte es doch noch eine andere Möglichkeit geben ohne den EInsatz eines Proxys lasst es mich bitte wissen.

Danke

Antworten