fritz! box antwortet nicht auf dnsmasq-regeln, die auf IPs innerhalb von 192.168.178 verweisen

3419
Sebastian A.

Um eine bessere Überwachung meines Heimnetzwerks (elterliche Kontrolle) zu gewährleisten, habe ich versucht, ein Raspberry Pi mit dnsmasq einzurichten und der dnsmasq.conf einige Regeln hinzuzufügen, die im Wesentlichen auf Folgendes zurückzuführen sind:

address=/filtered.website/192.168.178.49

Ich habe dies eingerichtet und solange ich IP-Adressen verwende, die außerhalb des Bereichs von 192.168.178 liegen. ###, funktioniert alles einwandfrei. Ich habe nun geplant, diese Websites mit einer lokalen Warnmeldung zu verbinden, so dass nicht nur der Browser einen Fehler anzeigt, sondern der Benutzer eine Warnung erhält.

Um alle DNS-Abfragen über das Pi abzuwickeln, habe ich die Fritz! Box-Einstellungen verwendet und sowohl den primären als auch den sekundären DNS-Server auf die Adresse von Pi eingestellt. Alles wird wie gewünscht aufgelöst, mit Ausnahme von Domänen, die sich daher in meinem lokalen Netzwerk auflösen. Versucht mein Router nur, mich vor Websites zu schützen, die an mein lokales Netzwerk weitergeleitet werden, oder was läuft?

Vielen Dank für Ihre Zeit und Hilfe!

0
Weitere Details sind erforderlich. Sie ersetzen also die IP-Adressen gesperrter Sites? Auf den Clients werden sie durch einen Ping richtig zu Ihren neuen IP-Adressen aufgelöst? Wenn ja, sind Sie sicher, dass die zurückgegebene Adresse 192.168.178. ### diejenige des Pi ist und ein Webserver ausgeführt wird, der alle Standortnamen korrekt akzeptiert? Was passiert, wenn Sie manuell von einem der Client-Browser zu dieser IP gelangen? Dave C vor 11 Jahren 0

4 Antworten auf die Frage

1
Sebastian A.

I think I found the solution to the problem I had myself: The Fritz!Box actually tries to protect you from domain names that resolve into your home network.

I cite http://service.avm.de/support/en/SKB/FRITZ-Box-7360-int/1274:No-DNS-resolution-of-private-IP-addresses:

For safety reasons, no DNS resolution of private IP addresses

If a DNS query from a DNS server on the Internet is answered with an IP address from the FRITZ!Box home network, the FRITZ!Box does not forward this DNS reply to the network device. This is a security feature of the FRITZ!Box to protect you from so-called "DNS rebinding attacks"

If anybody still got ideas on how to work around this or disable this feature, I would be honored to see them around.

1
nslntmnx

Der Schlüssel ist "außer Domänen, die sich daher in mein lokales Netzwerk auflösen."

Ich hatte das gleiche Problem und dieses Problem wurde behoben.

Die FritzBox verfügt über eine Sicherheitsfunktion, die Sie überschreiben müssen.

Sie müssen lediglich Ihre Domäne zur Liste der Ausnahmen hinzufügen. Folgen Sie den Anweisungen im folgenden Link.

http://de.avm.de/nc/service/fritzbox/fritzbox-7390/knowledge-base/publication/show/663_No-DNS-resolution-of-private-IP-addresses/

Möglicherweise müssen Sie die Firmware aktualisieren, damit die Option angezeigt wird.

Firmware-Version: 84.05.51

Mit freundlichen Grüßen

1
Claus

Wie schon gesagt, ist dies eine Sicherheitsfunktion. Ausnahmen für lokale IPs können durch Konfigurieren des Routers definiert werden.

FRITZ! Box konfigurieren

  1. Wechseln Sie in die "Erweiterte Ansicht".
  2. Klicken Sie in der Benutzeroberfläche der FRITZ! Box auf "Heimnetzwerk".
  3. Klicken Sie im Menü "Heimnetzwerk" auf "Netzwerk".
  4. Klicken Sie auf die Registerkarte "Netzwerkeinstellungen".
  5. Geben Sie im Feld "Ausnahmen für Domänennamen" den Namen der Domäne ein, für die der DNS-Rebind-Schutz nicht gelten soll. Wenn Sie mehrere Domänennamen als Ausnahmen eingeben möchten, trennen Sie die Domänennamen durch einen Zeilenumbruch voneinander.
  6. Klicken Sie auf "Übernehmen", um Ihre Einstellungen zu speichern.
0
Huygens

Ich sehe zwei Möglichkeiten für dich.

Option 1 - Änderung der Option dnsmasq in der fritzBox

Ich besitze keine FritzBox, aber wenn es wie bei vielen Routern usinf dnsmasq ist, können Sie normalerweise eine der Optionen für dnsmasq verwenden, die sich auf DNS rebind beziehen, siehe die Manpage oder hier ist der wesentliche Teil:

--rebind-localhost-ok
127.0.0.0/8 von erneuten Bindungsprüfungen ausnehmen. Dieser Adressbereich wird von Echtzeit-Black-Hole-Servern zurückgegeben. Durch das Sperren dieser Dienste werden diese Dienste möglicherweise deaktiviert.
--rebind-domain-ok=[<domain>]|[[/<domain>/[<domain>/]
Erkennen und blockieren Sie dns-rebind nicht für Abfragen an diese Domänen. Das Argument kann entweder eine einzelne Domäne sein oder mehrere Domänen, die von '/' umgeben sind, wie die Syntax --server, z. --rebind-domain-ok = / domain1 / domain2 / domain3 /

Sie können sehen, dass die Option --rebind-localhost-okfür DNS Black Hole so ist, wie Sie es erstellen möchten. Sie können diese Option jedoch nicht wirklich verwenden, um etwas anderes als eine Loopback-Adresse zu beantworten. Daher passt es möglicherweise nicht zu Ihrem Bedarf.

Beachten Sie, dass ich keine Ahnung habe, wenn Sie eine FritzBox verwenden. Sie können dnsmasq-Optionen irgendwo überschreiben.

Option 2 - Ändern der DHCP-DNS-Einstellung am Router

Wenn Sie die Parameter von dnsmasq an Ihrer FritzBox nicht ändern können, haben Sie noch eine andere Option. Stellen Sie dort in den DHCP-Einstellungen Ihrer FritzBox den DNS-Eintrag so ein, dass er auf Ihren Raspberry Pi verweist. Was Sie derzeit haben, ist ein Client, der eine DHCP-Adresse an Ihren Router anfordert, der Router antwortet mit einer IP, einem Gateway (die Router-IP, um auf das Internet zuzugreifen) und einem DNS (was ich wette, ist die Router-IP wieder). Wenn Ihr Client nun einen Domänennamen abfragt, wird dieser an die DNS-Weiterleitung Ihres Routers weitergeleitet, die ihn an Ihren Pi weiterleitet, und dann zurück.
Wenn Sie die vorgeschlagene Änderung durchführen, erhalten Ihre Clients während der DHCP-Transaktion die DNS-IP direkt von Ihrem Raspberry Pi. Sie werden also nicht mehr die Warnung zur erneuten Bindung erhalten :-)

PS: Es gibt auch ein Projekt namens Pi-Hole, das Ihnen helfen könnte.

PS2: Bearbeiten Nach der Überprüfung des Pi-Hole-Projekts schlug jemand in einer Ausgabe vor, meine Option 2 als Lösung für die Verwendung von Pi-Hole und einer FritzBox zu verwenden. https://github.com/pi-hole/pi-hole/issues/1271#issuecomment-282295061 Ich denke also, dass Option 2 die empfohlene Lösung ist.

Verwandte Probleme