[Fli4l_dev] DNS auf in?==?utf-8?Q?ternen Rechner (Pi-Hole) u?==?utf-8?Q?mbiegen
K. Dreier
usenetforum at gmx.net
Di Mär 12 19:55:16 CET 2019
Hallo,
wird dir nicht wirklich helfen aber: ich habe die Meldungen im fli4l-log
nicht. Der fli4l zeigt mittels DNS_FORWARDERS auf die Pi-hole IP.
Zusätzlich habe ich allerdings - da ich gesagt bekam, daß dies nötig
sei, um die device name Anzeige im Pi-hole Interface zu bekommen (statt
nur die IPs) - noch mit den Einträgen
DHCP_RANGE[x].DNS_SERVERS='*Pi-hole-IP*'
für jedes meiner Netze die IP des DNS-Servers forciert. Ich habe
mehrere NICs und dazu noch VLANs, weswegen vielleicht allein der
Forwarders-Eintrag nicht gelangt hat. Keine Ahnung. Funktioniert
allerdings trotzdem nicht vollumfänglich, weswegen ich jetzt in der
host-Datei auf dem Pi-hole noch Einträge für die clients gesetzt habe.
Unschön und aufwendig, aber ja nu.
Jedenfalls hat dieses Vorgehen auch den Vorteil, daß man einzelne Netze
bei Bedarf sehr schnell auf einen anderen DNS umbiegen kann - scheinbar
losgelöst von dem, was eine PREROUTING-Regel sagt, aber das muß ich
noch besser testen.
Denn ich habe zusätzlich für den Fall, daß gewisse IoT-Geräte einen
fixen DNS-Eintrag haben, noch die folgende Regel für die Firewall
gesetzt:
PF_PREROUTING[]='if:IP_NET_2_DEV:any !@Pihole 53 DNAT:@Pihole'
PF_PREROUTING[]='if:IP_NET_5_DEV:any !@Pihole 53 DNAT:@Pihole'
NET_2_DEV ist das LAN/NIC, in dem der Pi-hole hängt und dessen
DNS-Anfragen in jedem Fall über den Pi-hole laufen sollen; NET_5_DEV
ist ein VLAN, wo die gleiche Logik gilt, hängt an der gleichen NIC wie
NET_2. Nicht sicher, ob das so gänzlich richtig ist, aber scheint zu
funktionieren.
Übrigens: an anderer Stelle hier wurde mir gesagt ich solle für das
gewünschte Ergebnis
PF_PREROUTING[]='tmpl:dns @Pihole ACCEPT'
setzen. Kam mir schon komisch vor, aber immerhin hatte es kein "dynamic"
drin. Jedoch, das führte zumindest bei meinem Setup zu einem open DNS
resolver. Ups. Zum Glück hatte ich das noch getestet.
Zu deiner Fehlermeldung: was hast du im Pi-hole bzgl. des Interfaces
eingestellt? Und: hast du da drauf noch unbound laufen?
Gruß
Klaus
Mehr Informationen über die Mailingliste Fli4l_dev