Pi-Hole Nutzung "Erzwingen"?

Hallo Zusammen,

ich betreibe eine IPFire samt DHCP die das Zentrum meines Netzes darstellt. Nun habe ich ein Pi-Hole in Betrieb genommen und würde gerne die Nutzung dessen “Erzwingen”, also alles andere “Sperren”

Nur wie setze ich dies mit FW Regeln in der IPFire um? Ist die IPFire der DNS Server so gibt es ein Wiki Artikel: https://wiki.ipfire.org/configuration/firewall/dns
Das funktioniert auch prima…

Nur wie muss ich die “Erlauben” Regel gestalten um den DNS Traffic für die IP des Pi-Hole zu erlauben?

Danke für Tipps

Grüße

Massaguana

Ich hatte das mal irgendwo für iptables aufgeschrieben, finde es aber gerade nicht.

Folgendes Vorgehen:

  • Alle Anfragen auf Port 53 vom Pi-hole ins Internet: Zulassen
  • Alle Anfragen auf Port 53 von anderen Geräten: Umleiten auf das Pi-hole

Alternativ (das ist dann aber nicht erzwingen):

  • Alle Anfragen auf Port 53 vom Pi-hole ins Internet: Zulassen
  • Alle Anfragen auf Port 53 von anderen Geräten: Abweisen

Wenn ich recht sehe ist das auch was so in etwa auf der von Dir verlinkten Seite steht.

Hehe, ja das ist genau das was in den Wiki Artikel beschrieben steht, dazu das derzeit es nicht Möglich ist die Anfragen “Umzuleiten”. Nur “Abweisen” von nicht erwünschten DNS Abfragen ist derzeit Möglich. Für mich ausreichend…

Nur den Schritt von lesen zu das in eine Firewall Regel zu gießen ist mir bisher nicht gelungen. Firewall Regeln sind mir ein Graus, ich bin zu doof dazu… ich weiß nie auf was sich z.B. eingehend bezieht, für mich eine Frage des Ortes derBetrachtung.

So sieht die Maske zur Regel Erstellung bei mir aus

Sehr wichtig wäre für mich zu wissen, ob es bei diesen Regeln ein System wie: “Abarbeiten von oben nach unten” gibt.

Ein möglicher Test: Füge zwei Regeln ein.

Die erste sagt: Alles von allem überallhin akzeptieren.
Die zweite sagt: Alles von allem überallhin verweigern.

Wenn das Internet danach immer noch ordnungsgemäß funktioniert können wir die Regeln wie oben beschrieben einbauen:

1. Regel

Quelle: IP Adresse des Pi-hole
Ziel: Alle (wie auch immer man das hier eingibt!)
Protokoll: DNS
Aktion: Akzeptieren

2. Regel

Quelle: Alle (das Pi-hole wird ja schon über Regel 1 versorgt)
Ziel: Alle
Protokoll: DNS
Aktion: Verweigern

Also ich kann die Reihenfolge der Regel jedenfalls ändern oder festlegen wenn ich dies möchte.

Ich habe diese beiden Regel erstellt, ich konnte Problemlos Surfen. Die beiden Regeln Vertauscht lief es aber auch noch…

Oh, das ist schlecht… Dann geht es vermutlich gar nicht.
Oder kann man bei Quelle irgendwie eingeben “alle bis auf eine Adresse” ?

Mein Fehler… habe deine beiden test regeln noch einmal erstellt… Nun ist es so sobald ich die Reihenfolge Vertausche, also Verweigert dann Erlauben, so habe ich eingeschränkten Internet Zugang.

Okay, dann sollte es mit den beiden von mir oben beschrieben Regeln so funktionieren.

Ich würde sagen das sieht gut aus:

massaguana$ dig www.heise.de

; <<>> DiG 9.10.6 <<>> www.heise.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35982
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.heise.de.			IN	A

;; ANSWER SECTION:
www.heise.de.		14857	IN	A	193.99.144.85

;; Query time: 2 msec
;; SERVER: 192.168.2.2#53(192.168.2.2)
;; WHEN: Sun Aug 11 10:46:37 CEST 2019
;; MSG SIZE  rcvd: 57

massaguana$ dig @8.8.8.8 www.heise.de

; <<>> DiG 9.10.6 <<>> @8.8.8.8 www.heise.de
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Rückmeldung. Leider behindern diese Regeln scheinbar die IPfire und Ihre DNS Auflösung. Diese wird auch unterbunden.

Ich habe nun Testweise einmal in der IPFire den Pi-Hole als DNS server eingetragen

Hallo,
mein pihole steht in red und filter für meinen ipfire vor. Funktioniert aber erst seit Core update 134.

Lutz

@elo22 würdest du dies bitte näher ausführen? Core 134 ist jetzt nicht so neu auch wenn es die aktuelle version ist