solved: IPFire/dnsmasq Reihenfolge der DNS Auflösung

matiss

Chaos Maestro

Registered: Dec 2007
Location: Vienna
Posts: 695

31.10.2015 - 19:09

Hallo,

hab auf ungute Weise erfahren das DNS anscheinend zuerst extern gelöst wird und erst danach in der hosts Datei geschaut wird. Betreibe ein Gästenetz bei dem der proxy läuft zwecks URL Filterung und dnsmasq als Forwarder. Mein Controller fürs WLAN benötigt einen hosts Eintrag(controller.netz.lokal) damit die Sache mit der Push Page usw funktioniert.
Dies lief seit zwei Wochen ohne Probleme bis gestern auf einmal diverse Fehlermeldungen kamen. Nach einigen rumprobieren und suchen fand ich heraus das jemand im Internet einen Server mit genau diesem Namen registriert hat und somit die DNS Auflösung auf diesen fremden Server zeigt. Das dies meiner Meinung nach ein geziehlter Angriff ist usw sei mal dahin gestellt. Da werde ich noch schauen das ich mich darum kümmern kann.

Die wichtige Frage ist jetzt allerdings wie krieg ich das jetzt hin das zuerst die hosts Datei kontrolliert wird und nur wenn dort nichts drinnen steht wird geforwarded? Gibt es hier irgendwo eine festgelegte Reihenfolge oder gewichtung?

Sitz jetzt schon einige Zeit über der Man Page von dnsmasq nur irgendwie bin ich blind und find nicht das passende oder ich such am falschen Ende.

Bearbeitet von matiss am 07.11.2015, 12:44

Lukas

oc.at addicted

Registered: Feb 2004
Location: Kunsan AB
Posts: 1883

31.10.2015 - 19:16

Code:

cheetah:~:% host controller.netz.lokal
Host controller.netz.lokal not found: 3(NXDOMAIN)

Ich vermute mal da stimmt was anderes nicht, .lokal ist imo keine valide top level domain. Oder ist "controller.netz.lokal" ein Platzhalter?

Zeig mal den Inhalt deiner /etc/nsswitch.conf.

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11901

06.11.2015 - 09:58

Aus dnsmasq(8):

Code:

-S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]] 
[...]
 Also permitted is a -S flag which gives a domain but no IP address; this tells dnsmasq that a domain is local and it may answer queries from /etc/hosts or DHCP but should never forward queries on that domain to any upstream servers. local is a synonym for server to make configuration files clearer in this case.
[...]

matiss

Chaos Maestro

Registered: Dec 2007
Location: Vienna
Posts: 695

07.11.2015 - 12:43

Sorry für die späte Antwort war leider eine chaotische Woche.
Ich hab keine Ahnung warum aber nach paar mal Sachen verstellen und wieder zurückstellen und dem xten reboot nur um auf Nummer sicher zu gehen ging es wieder.

@Lukas ja das war nur ein platzhalter

Code:

# Begin /etc/nsswitch.conf

passwd: files
group: files
shadow: files

hosts: files dns
networks: files

protocols: files
services: files
ethers: files
rpc: files

# End /etc/nsswitch.conf

@COLOSSUS
Ok, da war ich blind, danke, werd mir das mal anschauen wie ichs einbau und wenn es nur ist damit das nicht wieder passiert.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

04.02.2016 - 13:29

wollte keinen neuen thread aufmachen:

generelle frage: vertraut ihr auf dnsmasq in eurem privatnetz. gibt es irgendwelche bedenken bezüglich sicherheit oder performance?

tia für nützlichen input

-=Willi=-

The Emperor protects

Registered: Aug 2003
Location: ~
Posts: 1624

04.02.2016 - 13:40

Ich benutzt dnsmasq weils bei mir aufm RPi läuft und eine "Lösung für alles" ist. Kann ja DNS- und DHCP-Server spielen. Performance kann ich nicht beurteilen weil ich nur <10 Clients hab (wenns jetzt schon langsam wär, wärs wohl ziemlich miese Software).

Sicherheit: Ob dnsmasq jetzt irgendwelche ausnutzbaren Programmfehler hat ist mir im Privatnetz eher wurscht weil es nicht von außen erreichbar ist.

Nico

former person of interest

Registered: Sep 2006
Location: -
Posts: 4082

04.02.2016 - 19:53

aha ok thx. hab den mal testweise als adblocker laufen. soweit ok

Lukas

oc.at addicted

Registered: Feb 2004
Location: Kunsan AB
Posts: 1883

26.02.2016 - 16:33

Zitat von -=Willi=-
Sicherheit: Ob dnsmasq jetzt irgendwelche ausnutzbaren Programmfehler hat ist mir im Privatnetz eher wurscht weil es nicht von außen erreichbar ist.

Schadsoftware die auf einem Gerät innerhalb deines Netzwerkes ausgeführt wird ist es herzlichst egal ob dein dnsmasq von außen erreichbar ist. Auf den Fakt, dass ein Service von außen nicht erreichbar ist, würde ich mich nicht grundsätzlich verlassen.

dnsmasq läuft bei mir sowohl im privaten als auch im beruflichen Umfeld bisweilen reibungslos; das Einpflegen etwaiger security patches vorausgesetzt.

-=Willi=-

The Emperor protects

Registered: Aug 2003
Location: ~
Posts: 1624

26.02.2016 - 16:44

Zitat von Lukas
Schadsoftware die auf einem Gerät innerhalb deines Netzwerkes ausgeführt wird ist es herzlichst egal ob dein dnsmasq von außen erreichbar ist. Auf den Fakt, dass ein Service von außen nicht erreichbar ist, würde ich mich nicht grundsätzlich verlassen.

Ja stimmt auch wieder. Ich geh aber einfach blindlinks davon aus, dass die Wahrscheinlichkeit mir Schadsoftware einzufangen die dnsmasq auf diese Weise angreifen kann, vernachlässigbar gering ist.

Bearbeitet von -=Willi=- am 26.02.2016, 16:44

matiss Chaos Maestro Registered: Dec 2007 Location: Vienna Posts: 695	31.10.2015 - 19:09 Hallo, hab auf ungute Weise erfahren das DNS anscheinend zuerst extern gelöst wird und erst danach in der hosts Datei geschaut wird. Betreibe ein Gästenetz bei dem der proxy läuft zwecks URL Filterung und dnsmasq als Forwarder. Mein Controller fürs WLAN benötigt einen hosts Eintrag(controller.netz.lokal) damit die Sache mit der Push Page usw funktioniert. Dies lief seit zwei Wochen ohne Probleme bis gestern auf einmal diverse Fehlermeldungen kamen. Nach einigen rumprobieren und suchen fand ich heraus das jemand im Internet einen Server mit genau diesem Namen registriert hat und somit die DNS Auflösung auf diesen fremden Server zeigt. Das dies meiner Meinung nach ein geziehlter Angriff ist usw sei mal dahin gestellt. Da werde ich noch schauen das ich mich darum kümmern kann. Die wichtige Frage ist jetzt allerdings wie krieg ich das jetzt hin das zuerst die hosts Datei kontrolliert wird und nur wenn dort nichts drinnen steht wird geforwarded? Gibt es hier irgendwo eine festgelegte Reihenfolge oder gewichtung? Sitz jetzt schon einige Zeit über der Man Page von dnsmasq nur irgendwie bin ich blind und find nicht das passende oder ich such am falschen Ende. Bearbeitet von matiss am 07.11.2015, 12:44
Lukas oc.at addicted Registered: Feb 2004 Location: Kunsan AB Posts: 1883	31.10.2015 - 19:16 Code: `cheetah:~:% host controller.netz.lokal Host controller.netz.lokal not found: 3(NXDOMAIN)` Ich vermute mal da stimmt was anderes nicht, .lokal ist imo keine valide top level domain. Oder ist "controller.netz.lokal" ein Platzhalter? Zeig mal den Inhalt deiner /etc/nsswitch.conf.
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11901	06.11.2015 - 09:58 Aus dnsmasq(8): Code: `-S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>\|<interface>[#<port>]] [...] Also permitted is a -S flag which gives a domain but no IP address; this tells dnsmasq that a domain is local and it may answer queries from /etc/hosts or DHCP but should never forward queries on that domain to any upstream servers. local is a synonym for server to make configuration files clearer in this case. [...]`
matiss Chaos Maestro Registered: Dec 2007 Location: Vienna Posts: 695	07.11.2015 - 12:43 Sorry für die späte Antwort war leider eine chaotische Woche. Ich hab keine Ahnung warum aber nach paar mal Sachen verstellen und wieder zurückstellen und dem xten reboot nur um auf Nummer sicher zu gehen ging es wieder. @Lukas ja das war nur ein platzhalter Code: `# Begin /etc/nsswitch.conf passwd: files group: files shadow: files hosts: files dns networks: files protocols: files services: files ethers: files rpc: files # End /etc/nsswitch.conf` @COLOSSUS Ok, da war ich blind, danke, werd mir das mal anschauen wie ichs einbau und wenn es nur ist damit das nicht wieder passiert.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	04.02.2016 - 13:29 wollte keinen neuen thread aufmachen: generelle frage: vertraut ihr auf dnsmasq in eurem privatnetz. gibt es irgendwelche bedenken bezüglich sicherheit oder performance? tia für nützlichen input
-=Willi=- The Emperor protects Registered: Aug 2003 Location: ~ Posts: 1624	04.02.2016 - 13:40 Ich benutzt dnsmasq weils bei mir aufm RPi läuft und eine "Lösung für alles" ist. Kann ja DNS- und DHCP-Server spielen. Performance kann ich nicht beurteilen weil ich nur <10 Clients hab (wenns jetzt schon langsam wär, wärs wohl ziemlich miese Software). Sicherheit: Ob dnsmasq jetzt irgendwelche ausnutzbaren Programmfehler hat ist mir im Privatnetz eher wurscht weil es nicht von außen erreichbar ist.
Nico former person of interest Registered: Sep 2006 Location: - Posts: 4082	04.02.2016 - 19:53 aha ok thx. hab den mal testweise als adblocker laufen. soweit ok
Lukas oc.at addicted Registered: Feb 2004 Location: Kunsan AB Posts: 1883	26.02.2016 - 16:33 Zitat von -=Willi=- Sicherheit: Ob dnsmasq jetzt irgendwelche ausnutzbaren Programmfehler hat ist mir im Privatnetz eher wurscht weil es nicht von außen erreichbar ist. Schadsoftware die auf einem Gerät innerhalb deines Netzwerkes ausgeführt wird ist es herzlichst egal ob dein dnsmasq von außen erreichbar ist. Auf den Fakt, dass ein Service von außen nicht erreichbar ist, würde ich mich nicht grundsätzlich verlassen. dnsmasq läuft bei mir sowohl im privaten als auch im beruflichen Umfeld bisweilen reibungslos; das Einpflegen etwaiger security patches vorausgesetzt.
-=Willi=- The Emperor protects Registered: Aug 2003 Location: ~ Posts: 1624	26.02.2016 - 16:44 Zitat von Lukas Schadsoftware die auf einem Gerät innerhalb deines Netzwerkes ausgeführt wird ist es herzlichst egal ob dein dnsmasq von außen erreichbar ist. Auf den Fakt, dass ein Service von außen nicht erreichbar ist, würde ich mich nicht grundsätzlich verlassen. Ja stimmt auch wieder. Ich geh aber einfach blindlinks davon aus, dass die Wahrscheinlichkeit mir Schadsoftware einzufangen die dnsmasq auf diese Weise angreifen kann, vernachlässigbar gering ist. Bearbeitet von -=Willi=- am 26.02.2016, 16:44

solved: IPFire/dnsmasq Reihenfolge der DNS Auflösung

Forum Index > Software > Linux and other OS

matiss

Lukas

COLOSSUS

matiss

Nico

-=Willi=-

Nico

Lukas

-=Willi=-