[Fli4l_dev] openvpn roadwarrior mit fli4l 4.0 testing
Alexander Dahl
lespocky at web.de
Sa Nov 21 16:04:21 CET 2015
Hallo Peter,
Peter Schiefer <newsgroup at lan4me.de> schrieb:
>> DNS_BIND_INTERFACES='no'
>
> und DNS_LISTEN_N ist nicht 0? oder?
Ist es nicht egal, was ich bei DNS_LISTEN_N eintrage, wenn ich
DNS_BIND_INTERFACES auf no setze? Der sollte dann doch auf allen
interfaces lauschen, egal ob ich über DNS_LISTEN_N noch welche angebe
oder nicht!? Wenn eh nur auf DNS_LISTEN_N geschaut wird, ist
DNS_BIND_INTERFACES eine überflüssige Option. ;-)
>> Der Router lauscht für DNS zwar auf allen Interfaces, DNS-Anfragen auf
>> die OPENVPN_1_LOCAL_VPN_IP werden aber nicht beantwortet. :-/
>
> wenn DNS_LISTN_N != 0 ist werden alle DNS-Anfragen in INPUT-head nach
> in-dns-ubp bzw in-dns-tcp geschoben und dort am ende der Kette gedropped
> falls nich vorher eines der Interfaces das via DNS_LISTEN_x referenziert
> wurde das Paket zulässt.
Siehe oben. Nach meinem Verständnis müsste hier nach DNS_BIND_INTERFACES
geschaut werden.
>> Vergleichbare input-Regeln für http und ssh funktionieren problemlos.
>> Kann das damit zusammenhängen, dass ssh/http über TCP laufen und DNS
>> über UDP?
>
> nein - das liegt an der Stelle wo der VPNVerkehr in der
> INPUT(-head/-midle/-tail) in die für ovpn-Zuständigen chains geleitet wird.
>
> in 3.10 ist dies übrigens vor der "umleitung" der dns-Pakete
>
> zeig mal die Ausgaben von
> iptables -nvL INPUT-head
> iptables -nvL INPUT-middle
> iptables -nvL INPUT-tail
# iptables -nvL INPUT-head
Chain INPUT-head (1 references)
pkts bytes target prot opt in out source destination
80 6950 in-icmp icmp -- * * 0.0.0.0/0 0.0.0.0/0 /* PF_INPUT_ACCEPT_DEF */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED /* PF_INPUT_ACCEPT_DEF */
3341 3022K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED /* PF_INPUT_ACCEPT_DEF */
97 5714 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 /* PF_INPUT_ACCEPT_DEF */
0 0 DROP all -- * * 127.0.0.1 0.0.0.0/0 ctstate NEW /* PF_INPUT_ACCEPT_DEF */
0 0 DROP all -- * * 0.0.0.0/0 127.0.0.1 ctstate NEW /* PF_INPUT_ACCEPT_DEF */
942 92379 PORTREDIRACCESS all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW /* PF_INPUT_ACCEPT_DEF */
8 1322 ACCEPT 41 -- * * 78.35.24.124 0.0.0.0/0 /* IPv6 protocol */
335 22829 in-dns-udp udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* filters DNS UDP requests */
0 0 in-dns-tcp tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* filters DNS TCP requests */
0 0 in-ovpn all -- tun+ * 0.0.0.0/0 0.0.0.0/0 /* ovpn VPN traffic */
# iptables -nvL INPUT-middle
Chain INPUT-middle (1 references)
pkts bytes target prot opt in out source destination
102 13093 ACCEPT all -- * * 10.182.63.0/24 0.0.0.0/0 /* PF_INPUT_1='IP_NET_1 ACCEPT' */
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 /* PF_INPUT_2: no samba traffic allowed */
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 /* PF_INPUT_2: no samba traffic allowed */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:138 /* PF_INPUT_2: no samba traffic allowed */
0 0 ACCEPT all -- * * 10.33.23.0/24 0.0.0.0/0 /* PF_INPUT_3='10.33.23.0/24 ACCEPT' */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5001 /* PF_INPUT_4='5001 ACCEPT' */
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5001 /* PF_INPUT_4='5001 ACCEPT' */
# iptables -nvL INPUT-tail
Chain INPUT-tail (1 references)
pkts bytes target prot opt in out source destination
542 59677 in-tor all -- * * 0.0.0.0/0 0.0.0.0/0 /* tor access */
542 59677 in-ovpn-ports all -- * * 0.0.0.0/0 0.0.0.0/0 /* ovpn access */
0 0 in-dhcpd udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* dhcp requests access */
542 59677 in-rej all -- * * 0.0.0.0/0 0.0.0.0/0
Ich tu mich noch bisschen schwer das zu interpretieren. ;-)
Grüße
Alex
--
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: 02C8 A590 7FE5 CA5F 3601 D1D5 8FBA 7744 CC87 10D0
Mehr Informationen über die Mailingliste Fli4l_dev