DNS Anfragensturm

Ich habe seit geraumer Zeit ein Problem.
Es kommen manchmal massenhafte DNS-Anfragen die irgendwann den pi-hole zusammen brechen lassen.

Dabei ist mir aufgefallen, dass die MAC meines (OpenWRT) Routers mit einer mir völlig unbekannten öffentlichen, wechselnden IP oder Domain auftaucht.
Im Video ist:
192.168.2.4 ist der pi-hole
öffentliche IP ist der Router.

Das System lief jetzt seid ca. 1-2 Jahren stabil durch. Leider kann ich jetzt auch nicht sagen, dass ich nix geändert habe. Das tue ich eigentlich ständig. Allerdings kann ich nicht sagen was, bzw. welche Änderung wo das Problem ausgelöst hat. Ich habe vor 1-2 Wochen zum ersten mal ein DNS Problem gehabt... Die ersten 2-3 male habe ich dann einfach den pi-hole neu gestartet. Mittlerweile besteht das Problem aber auch nach einem reboot. Das lässt den pi-hole irgendwie unschuldig wirken. :wink:
Diese massenhaften Anfragen kommen, bleiben 2 Minuten - 2 Stunden und sind plötzlich weg.
Habt ihr eine Idee?

Ist dein Pi / Pi-hole über das Internet erreichbar, betreibst du einen öffentlichen DNS Server?

Teste mal, ob dein Port 53 von draußen erreichbar ist:

ShieldsUP -> Schaltfläche "Proceed" -> "53" in das Eingabefeld eintragen -> Schaltfläche "User specified custom port probe".

Das Ergebnis sollte sein: Port=53, Status=Stealth

1 Like

Ja, das ist eine Möglichkeit.... der Port ist erreichbar....
Ich hatte mal als Custom Rule im Router

iptables -t nat -A PREROUTING ! -s 192.168.2.4 -p udp --dport 53 -j DNAT --to 192.168.2.4
iptables -t nat -A PREROUTING ! -s 192.168.2.4 -p tcp --dport 53 -j DNAT --to 192.168.2.4

eingeschaltet um keinen anderen DNS zuzulassen.
Dann muss ich den wohl nochmal anpassen....
Vielen Dank für die Lösung.

Ich habe mal auf:

iptables -t nat -I PREROUTING -i br-lan -p tcp --dport 53 -j DNAT --to 192.168.2.4:53
iptables -t nat -I PREROUTING -i br-lan -p udp --dport 53 -j DNAT --to 192.168.2.4:53

iptables -t nat -I PREROUTING -i br-lan -p tcp -s 192.168.2.4 --dport 53 -j ACCEPT
iptables -t nat -I PREROUTING -i br-lan -p udp -s 192.168.2.4 --dport 53 -j ACCEPT

geändert.
ShieldsUP sagt nun auch "Closed"
Jetzt muss ich mir noch ein Gerät bauen, dass einen anderen DNS will um das zu testen.

So, gerade habe ich dann mal meinem Rechner einen anderen DNS aufgezwungen. Der Router hat die Anfragen korrekt umgebogen. Also zu mindestens das Loch aus der Wolke ist gestopft und eine adäquate Alternative zu meiner ursprünglichen Custom Rule ist implementiert.
Hoffentlich wars das dann.
Vielen Dank an mibere.