Hallo Zusammen,
ich betreibe eine IPFire samt DHCP die das Zentrum meines Netzes darstellt. Nun habe ich ein Pi-Hole in Betrieb genommen und würde gerne die Nutzung dessen "Erzwingen", also alles andere "Sperren"
Nur wie setze ich dies mit FW Regeln in der IPFire um? Ist die IPFire der DNS Server so gibt es ein Wiki Artikel: wiki.ipfire.org - Force clients to use IPFire's DNS proxy
Nur wie muss ich die "Erlauben" Regel gestalten um den DNS Traffic für die IP des Pi-Hole zu erlauben?
Danke für Tipps
Grüße
Massaguana
DL6ER
August 11, 2019, 7:28am
2
Ich hatte das mal irgendwo für iptables aufgeschrieben, finde es aber gerade nicht.
Folgendes Vorgehen:
Alle Anfragen auf Port 53 vom Pi-hole ins Internet: Zulassen
Alle Anfragen auf Port 53 von anderen Geräten: Umleiten auf das Pi-hole
Alternativ (das ist dann aber nicht erzwingen):
Alle Anfragen auf Port 53 vom Pi-hole ins Internet: Zulassen
Alle Anfragen auf Port 53 von anderen Geräten: Abweisen
Wenn ich recht sehe ist das auch was so in etwa auf der von Dir verlinkten Seite steht.
Hehe, ja das ist genau das was in den Wiki Artikel beschrieben steht, dazu das derzeit es nicht Möglich ist die Anfragen "Umzuleiten". Nur "Abweisen" von nicht erwünschten DNS Abfragen ist derzeit Möglich. Für mich ausreichend...
Nur den Schritt von lesen zu das in eine Firewall Regel zu gießen ist mir bisher nicht gelungen. Firewall Regeln sind mir ein Graus, ich bin zu doof dazu... ich weiß nie auf was sich z.B. eingehend bezieht, für mich eine Frage des Ortes derBetrachtung.
So sieht die Maske zur Regel Erstellung bei mir aus
DL6ER
August 11, 2019, 7:52am
4
Sehr wichtig wäre für mich zu wissen, ob es bei diesen Regeln ein System wie: "Abarbeiten von oben nach unten" gibt.
Ein möglicher Test: Füge zwei Regeln ein.
Die erste sagt: Alles von allem überallhin akzeptieren .verweigern .
Wenn das Internet danach immer noch ordnungsgemäß funktioniert können wir die Regeln wie oben beschrieben einbauen:
1. Regel
Quelle: IP Adresse des Pi-hole
2. Regel
Quelle: Alle (das Pi-hole wird ja schon über Regel 1 versorgt)
Also ich kann die Reihenfolge der Regel jedenfalls ändern oder festlegen wenn ich dies möchte.
Ich habe diese beiden Regel erstellt, ich konnte Problemlos Surfen. Die beiden Regeln Vertauscht lief es aber auch noch...
DL6ER
August 11, 2019, 8:17am
6
Oh, das ist schlecht.... Dann geht es vermutlich gar nicht.
Mein Fehler... habe deine beiden test regeln noch einmal erstellt... Nun ist es so sobald ich die Reihenfolge Vertausche, also Verweigert dann Erlauben, so habe ich eingeschränkten Internet Zugang.
DL6ER
August 11, 2019, 8:38am
8
Okay, dann sollte es mit den beiden von mir oben beschrieben Regeln so funktionieren.
Ich würde sagen das sieht gut aus:
massaguana$ dig www.heise.de
; <<>> DiG 9.10.6 <<>> www.heise.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35982
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.heise.de. IN A
;; ANSWER SECTION:
www.heise.de. 14857 IN A 193.99.144.85
;; Query time: 2 msec
;; SERVER: 192.168.2.2#53(192.168.2.2)
;; WHEN: Sun Aug 11 10:46:37 CEST 2019
;; MSG SIZE rcvd: 57
massaguana$ dig @8.8.8.8 www.heise.de
; <<>> DiG 9.10.6 <<>> @8.8.8.8 www.heise.de
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
Rückmeldung. Leider behindern diese Regeln scheinbar die IPfire und Ihre DNS Auflösung. Diese wird auch unterbunden.
Ich habe nun Testweise einmal in der IPFire den Pi-Hole als DNS server eingetragen
elo22
August 14, 2019, 2:34am
11
Hallo,
Lutz
@elo22 würdest du dies bitte näher ausführen? Core 134 ist jetzt nicht so neu auch wenn es die aktuelle version ist
