[fli4l] Fli4L und Pihole: Hohe Anzahl von Requests

Kay Martinen kay at martinen.de
Fr Jun 21 00:21:22 CEST 2019 

Am 20.06.2019 um 21:49 schrieb W. Loefstedt:
> hier läuft seit langer Zeit ein Fli4L v3.6.2 zuverlässig. Ich habe jetzt
> versuchsweise Pihole v4.3.1 auf einem Raspi1 aufgesetzt, die feste
> lokale IP des Pihole im Fli4L eingetragen [base.txt (DNS_FORWARDERS),

D.h. der FLI fragt bei namensauflösungen zuerst den pihole und nicht
mehr direkt den Nameserver des Providers? Und wen fragt der pihole dann
- über den FLI oder direkt?

> dns_dhcp.txt (DHCP_RANGE_1_DNS_SERVER1)]. Alles läuft, der Pihole

D.h. interne Clients bekommen bei der adresszuweisung auch den pihole
als nameserver genannt - und NUR den? Oder auch den FLI, was den u.g.
effekt mildern oder verstärken könnte.

> filtert. Leider gibt es von Zeit zu Zeit eine sehr hohe Zahl (>200000)
> von Requests des Fli4 an wechselnde WAN-Adressen, die natürlich alle
> logs überlaufen lassen und manchmal auch zum Absturz des Pihole führen.

Ich denke du müsstest mehr erzählen wie dein Setup aussieht. Ist der
pihole auf der LAN-Seite des FLI? Benutzt du ein Externes Modem mit
pppoe am WAN Port des FLI oder hängt dort eine Provider-box/router und
der FLI ist dessen Client? Hängt in dem Fall der pihole zwischen
Provider-router und dem FLI?

Wie fandest du raus das 200000 Requests vom FLI an WAN-Adressen gingen?

> Kennt jemand dieses Verhalten? Kann man die Anzahl von schnell
> aufeinander folgenden Requests auf eine WAN-Adresse limitieren?

Da ich noch kein pihole einsetze weiß ich dazu nichts. Ich könnte mir
aber vorstellen das du ein Grundlegendes Konstruktions-Problem in deinem
Setup hast was dies auslösen kann.

Wenn z.b. der pihole eine anfrage nach einer domain an den FLI stellt
und dieser so eingerichtet ist das er diese weiterleitet - an den
pihole... dann kann ich mir einen selbstverstärkenden Effekt vorstellen.
Quasi eine Endlos-Schleife in der die Anfrage immer hin und her pendelt.

Wenn dazu noch anfragen der Clients direkt an den pihole gestellt werden
dann verstärkt sich das noch mehr. Das ganze nennt man eine Amplifying
Attack und wird gerne für DDoS genutzt.

Oder wolltest du dich selbst Hacken? ;-)

Kay

-- 
Sent via SN (Eisfair-1)

Mehr Informationen über die Mailingliste Fli4L