Anzeige:
Ergebnis 1 bis 13 von 13

Thema: DNS Port Routing

  1. #1
    Registrierter Benutzer
    Registriert seit
    Jan 2017
    Beiträge
    6

    DNS Port Routing

    Hallo Zusammen,

    Hier erstmal meine Umgebung:

    BS: CentOs7.2
    VM: Virtualbox 5.1.12
    Netze: Fritzbox 10.4.0.0/16, VM-Internes Netz 10.0.1.0/24

    Ich hab folgendes Problem(chen)...
    Ich benutze eine VM als DHCP/Router (nennen wir ihn einfach R1) an dem die Netze 10.4.0.0/16 und 10.0.1.0/24 angeschlossen sind. Im VM Netz (10.0.1.0/24) kann ich nicht keine externen Pings durchführen (Beispiel ping web.de). Ich bin mittlerweile dahinter gekommen, dass es an der Namensauflösung liegt. Deaktiviere ich am internen Router (R1) die Firewall klappt das ohne Probleme. Ich habe bereits versucht die Ports 53/TCP freizugeben (Firewall-cmd --add-port=53/tcp --permanent) und ich habe auch versucht den Service Freizugeben (Firewall-cmd --add-Service=dns --permanent). Ich habe sowohl beides gleichzeitig als auch getrennt voneinander versucht. Ich habe sogar in meiner Verzweiflung folgendes versucht: Firewall-cmd --add-port=1-50000/tcp --permanent

    Aber ich krieg es einfach nicht hin... irgendwie scheint der Port nicht geroutet zu werden. In Sachen Linux und Netzwerk bin ich noch relativ frisch (aber nicht völlig Ahnungslos), also liegts vermutlich an meiner Ahnungslosigkeit. Aber in allen HowDo's die ich so finden konnte werden keine weiteren schritte beschrieben.

    Das Problem besteht allerdings nur mit eingeschalteter Firewall, ohne klappt alles super.
    Ich hoffe jemand kann mir verständlich beschreiben wo "meine" Problem liegt

    Dangöö

    Viele Grüße

  2. #2
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.814
    Moin,

    also zum einen solltest du dir mal überlegen, warum es "IPv4 nein Danke" Sticker gibt - nicht böse gemeint, aber IPv4 stirbt, also besser schon mal jetzt mit dem Nachfolger anfreunden.

    Ansonsten, wenn es ohne Firewall geht, dann ist die auch Schuld, um zu verstehen was da schief geht musst du zu nächst deine Firewall nackig machen - bei Linux ist mit Firewall immer noch iptables gemeint, der Befehl:
    Code:
    iptables -nvL
    Ist hervorragend für so eine Entkleidung geeignet. Jedenfalls musst du verstehen, wie deine Firewall funktioniert, dann entsprechende Anpassungen vornehmen und alles wird gut - du musst halt wirklich nachvollziehen, was da passiert, also "in der Firewall"...
    Geändert von nopes (21.01.17 um 02:54 Uhr) Grund: simplified
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  3. #3
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    DNS 53 UDP [emoji6]
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  4. #4
    Registrierter Benutzer
    Registriert seit
    Jan 2017
    Beiträge
    6
    Hallo,

    ok... aus der Liste wer ich nicht ganz schlau.... mir ist wohl klar das eingehende Pakete verschiedene Prozesse durchlaufen, aber was was ist und an welchem punkt ich etwas wie ändere daran scheiter ich im Moment...
    Der Befehl iptables -nvL spuckt bei mir folgendes aus:
    Code:
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
      211 15032 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
      210 51532 INPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
      210 51532 INPUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
      210 51532 INPUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
      209 51428 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FORWARD_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FORWARD_IN_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FORWARD_IN_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FORWARD_OUT_ZONES_SOURCE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FORWARD_OUT_ZONES  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
        4   160 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
       76 20158 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    
    Chain OUTPUT (policy ACCEPT 293 packets, 109K bytes)
     pkts bytes target     prot opt in     out     source               destination         
      293  109K OUTPUT_direct  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    
    Chain FORWARD_IN_ZONES (1 references)
     pkts bytes target     prot opt in     out     source               destination         
       32  1824 FWDI_public  all  --  enp0s8 *       0.0.0.0/0            0.0.0.0/0           [goto] 
       48 18494 FWDI_public  all  --  enp0s3 *       0.0.0.0/0            0.0.0.0/0           [goto] 
        0     0 FWDI_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto] 
    
    Chain FORWARD_IN_ZONES_SOURCE (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FORWARD_OUT_ZONES (1 references)
     pkts bytes target     prot opt in     out     source               destination         
       48 18494 FWDO_public  all  --  *      enp0s8  0.0.0.0/0            0.0.0.0/0           [goto] 
       32  1824 FWDO_public  all  --  *      enp0s3  0.0.0.0/0            0.0.0.0/0           [goto] 
        0     0 FWDO_public  all  --  *      +       0.0.0.0/0            0.0.0.0/0           [goto] 
    
    Chain FORWARD_OUT_ZONES_SOURCE (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FORWARD_direct (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FWDI_public (3 references)
     pkts bytes target     prot opt in     out     source               destination         
       80 20318 FWDI_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FWDI_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FWDI_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    
    Chain FWDI_public_allow (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FWDI_public_deny (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FWDI_public_log (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FWDO_public (3 references)
     pkts bytes target     prot opt in     out     source               destination         
       80 20318 FWDO_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FWDO_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
       80 20318 FWDO_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    
    Chain FWDO_public_allow (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FWDO_public_deny (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain FWDO_public_log (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain INPUT_ZONES (1 references)
     pkts bytes target     prot opt in     out     source               destination         
        1   328 IN_public  all  --  enp0s8 *       0.0.0.0/0            0.0.0.0/0           [goto] 
      207 50622 IN_public  all  --  enp0s3 *       0.0.0.0/0            0.0.0.0/0           [goto] 
        2   582 IN_public  all  --  +      *       0.0.0.0/0            0.0.0.0/0           [goto] 
    
    Chain INPUT_ZONES_SOURCE (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain INPUT_direct (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain IN_public (3 references)
     pkts bytes target     prot opt in     out     source               destination         
      210 51532 IN_public_log  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
      210 51532 IN_public_deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
      210 51532 IN_public_allow  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    
    Chain IN_public_allow (1 references)
     pkts bytes target     prot opt in     out     source               destination         
        1   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
    
    Chain IN_public_deny (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain IN_public_log (1 references)
     pkts bytes target     prot opt in     out     source               destination         
    
    Chain OUTPUT_direct (1 references)
     pkts bytes target     prot opt in     out     source               destination
    @Florian: udp hab ich natürlich auch schon versucht gehabt ;-)

    Kleiner Nachtrag: das Problem betrifft die Router VM selbst nicht... nur die VMs, die dahinter liegen
    Viele Grüße
    Geändert von PFeffi09 (21.01.17 um 12:29 Uhr)

  5. #5
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Zitat Zitat von PFeffi09 Beitrag anzeigen
    Hallo,

    ok... aus der Liste wer ich nicht ganz schlau.... mir ist wohl klar das eingehende Pakete verschiedene Prozesse durchlaufen, aber was was ist und an welchem punkt ich etwas wie ändere daran scheiter ich im Moment...
    Der Befehl iptables -nvL spuckt bei mir folgendes aus:
    Code:
    Chain IN_public_allow (1 references)
     pkts bytes target     prot opt in     out     source               destination         
        1   104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
    Du erlaubst lediglich Port 22

    @Florian: udp hab ich natürlich auch schon versucht gehabt ;-)
    Also beides zusammen? "--add-port=53/tcp" und "--add-port53/udp"
    Wobei diese Regel in deinem Code nicht zur Anwendung zu kommen scheint.

    Kleiner Nachtrag: das Problem betrifft die Router VM selbst nicht... nur die VMs, die dahinter liegen
    Viele Grüße
    Du solltest dann auch die Firewall-Konfiguration aller auf der Strecke liegenden Geräte posten inkl. VM Host + DNS Guest.

    Die direkte iptables rule für DNS wäre

    Code:
    iptables -A IN_public_allow -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
    iptables -A IN_public_allow -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
    Die kannst du auf den Centos Geräten mal direkt eintippen und prüfen obs klappt.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  6. #6
    Registrierter Benutzer
    Registriert seit
    Jan 2017
    Beiträge
    6
    Hallo Florian,

    ich nehme jede Änderung normalerweise zurück, wenn sie nicht klappt, oder lasse direkt --permanent weg, daher erscheint diese Regel auch nicht in der Liste.
    Auf der strecke befindet sich im Nachgang nur noch die Fritzbox. Wie gesagt, sobald ich die Firewall ausschaltet funktioniert es... ich könnte es ja dabei belassen, aber ich plane das ein wenig umzubauen und dafür benötige ein Portweiterleitung (Und dann bliebe dieses Problem für ewig ungelöst ;-))
    Deine Rule hab ich versucht leider ohne Erfolg.

    Vielen Grüße

  7. #7
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Mehr Details bitte.

    "im Nachgang nur noch die Fritzbox" heißt was?
    Die "router VM" und "dahinter die VM's" heißt was?

    Wenn das so aussieht:

    FritzBox <==> RouterVM <==> xVM's

    Dann musst du zumindest die Firewall-Regeln von der RouterVM und jeder xVM checken.
    Die RouterVM muss zusätzlich noch Regeln haben um den Verkehr von xVM's zur FritzBox über die RouterVM zu leiten.
    Und der DNS ist jetzt die RouterVM?

    Wenn man dir helfen soll musst du mehr Info's posten.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  8. #8
    Registrierter Benutzer Avatar von Huhn Hur Tu
    Registriert seit
    Nov 2003
    Ort
    Karlsruhe
    Beiträge
    2.243
    Zitat Zitat von nopes Beitrag anzeigen
    Moin,
    also zum einen solltest du dir mal überlegen, warum es "IPv4 nein Danke" Sticker gibt - nicht böse gemeint, aber IPv4 stirbt, also besser schon mal jetzt mit dem Nachfolger anfreunden.
    Gerne, aber wann kommt denn IPv8, welches Geruechteweise auch fuer DAUs Intuitiv zu verwenden ist

    Gruss Stefan
    Zwischen anonym sein wollen und seine Daten nicht verkaufen wollen, liegen zwei Welten. Wenn man sich einen kostenpflichtigen Dienst sucht, dann meist, weil man für diese Dienstleistung zahlt und nicht selbst das Produkt sein will.


  9. #9
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.814
    Hm ich habe da nur so Gerüchte war genommen, dass das ein tolles ERauch-Produkt sein soll ansonsten gilt die Ansage auch für mich (einiges soll mit IPv6 ja sogar leichter werden)
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  10. #10
    Registrierter Benutzer
    Registriert seit
    Jan 2017
    Beiträge
    6
    Hallo Florian,

    ich hab vielleicht nicht verständlich genug gemacht, wie mein Netzaufbau ist. Ich versuch das mal zu beleuchten:

    WAN <==> FritzBox 10.4.0.0/16 <==> VMRouter Inkl DHCP für 10.0.1.0/24 <==> einige VM's
    Fritzbox ist gleichzeitig als DNS eingetragen

    Routing und DNS-Anfragen funktionieren fehlerfrei sobald ich die Firewall im VMRouter deaktiviere. Daher gehe ich stark davon aus, dass auf keiner weiteren Maschine irgendeine Konfiguration geändert werden muss.

    ich verstehe nicht ganz warum deine Rule für DNS nicht funktioniert hat, da ja für SSH die gleiche Rule im System ist und funktioniert.

    Viele Grüße und vielen Dank bis hier hin

  11. #11
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Geht das? Am VMRouter

    eth_intern + eth_extern entsprechend ersetzen.


    Code:
    firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o eth_extern -j MASQUERADE
    firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i eth_intern -o eth_extern -j ACCEPT
    firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i eth_extern -o eth_intern -m state --state RELATED,ESTABLISHED -j ACCEPT
    
    echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
    sysctl -p
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  12. #12
    Registrierter Benutzer
    Registriert seit
    Jan 2017
    Beiträge
    6
    Hallo Florian,

    das funktioniert. Die Routingkonfiguration in sysctl hatte ich schon so gemacht.
    Wäre es sehr dreist von mir noch zu fragen ob das auch ohne nat geht?

    Vielen Dank auf jeden Fall für die Hilfe

  13. #13
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Ich leg dir mal das ans Herz

    https://access.redhat.com/documentat...l-ipt-fwd.html

    Um NAT nicht zu nutzen musst du NAT nur entfernen [emoji12]
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

Ähnliche Themen

  1. Kann der WAN/Internet-Port/Uplink-Port von Hardware-Routern dhcp?
    Von E.coli im Forum Router und Netzaufbau
    Antworten: 2
    Letzter Beitrag: 17.04.09, 17:27
  2. SuSE Firewall Port öffnen / Port weiterleiten / Port testen
    Von stopsy im Forum Router und Netzaufbau
    Antworten: 3
    Letzter Beitrag: 12.02.08, 19:17
  3. [Routing] Fehler im Routing, einstellungen bei Windows
    Von -Sensemann- im Forum Router und Netzaufbau
    Antworten: 7
    Letzter Beitrag: 07.03.04, 18:02
  4. Port mappen trotz outbound routing mit ipchains
    Von CRAZyBUg im Forum Router und Netzaufbau
    Antworten: 0
    Letzter Beitrag: 15.10.01, 03:33
  5. Antworten: 4
    Letzter Beitrag: 08.02.01, 23:55

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •