Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Ubuntu Server 20.10 mit dnsmasq als Router und IP Filter

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Toolmaster
Newbie
Newbie
Beiträge: 1
Registriert: 26. Mär 2021, 11:25

Ubuntu Server 20.10 mit dnsmasq als Router und IP Filter

Beitrag von Toolmaster »

Hallo Leute,

ich bin in Linux noch nicht so begabt, deshalb verzeiht mir wenn irgendetwas nicht ganz zusammen passt.

Ich habe einen Ubuntu 20.10 Server mit 2 Netzwerkkarten (enp1s0 und enp4s0).

enp1s0 ist die Netzwerkkarte die mit der FritzBox verbunden ist.
enp4s0 ist die Netzwerkkarte auf der mein Switch für das Locale Lan hängt.

Mit dnsmasq habe ich einen DNS und DHCP Server realisiert. Dieser funktioniert auch einwandfrei.

Jetzt aber zu meinem Problem. Ich möchte gerne IP Adressen und nicht nur Domains blocken.

Domains kann man ja ganz bequem mit der Blocklist von dnsmasq blockieren.


Aber wenn ich IP Adressen über die IPTables sperren möchte, werden diese Regeln ignoriert. Ich kann sie aus dem gesamten Lan anpingen oder aufrufen.


Gibt es eine andere Möglichkeit um Ip Adressen zu sperren oder muss dnsmasq konfiguriert werden um die IpTables nicht zu ignorieren.


Hoffe auf eure Hilfe.


Grüße Toolmaster
Benutzeravatar
susejunky
Moderator
Moderator
Beiträge: 1040
Registriert: 19. Sep 2014, 18:22

Re: Ubuntu Server 20.10 mit dnsmasq als Router und IP Filter

Beitrag von susejunky »

Hallo Toolmaster,
Toolmaster hat geschrieben: 26. Mär 2021, 11:27... Ich möchte gerne IP Adressen und nicht nur Domains blocken.
Möchtest Du eingehende Verbindungen (von einer bestimmten IP-Adresse) oder ausgehende Verbindungen (zu einer bestimmten IP-Adresse) blockieren?

Toolmaster hat geschrieben: 26. Mär 2021, 11:27... Domains kann man ja ganz bequem mit der Blocklist von dnsmasq blockieren.
Nun das ist so nicht ganz richtig. dnsmasq fungiert als DHCP- und DNS- Server.

Als DNS-Server nimmt es Anfragen mit FQDNs entgegen und liefert dem Anfragenden die zugehörige IP-Adresse zurückt. Durch die Verwendung von Blocklists kannst Du zwar dem Anfragenden für bestimmte FQDNs eine von Dir bestimmte ("falsche") IP-Adresse zurückgeben aber das "blockiert" den FQDN nur bedingt.

Verwendet ein Benutzer in Deinem LAN einen anderen DNS-Server (z.B. wenn er Firefox mit DoH einsetzt), dann kann er gar wohl noch auf den FQDN zugreifen.

Als DHCP-Server weist dnsmasq den Geräten in Deinem LAN eine IP-Adresse zu (und liefert ggf. auch die Adresse eines DNS-Servers an den Client) aber beides verhindert nicht, dass ein Benutzer aus Deinem LAN heraus auf einen bestimmten FQDN zugreifen kann.

Toolmaster hat geschrieben: 26. Mär 2021, 11:27... Aber wenn ich IP Adressen über die IPTables sperren möchte, werden diese Regeln ignoriert. Ich kann sie aus dem gesamten Lan anpingen oder aufrufen.
Soweit mir bekannt blockieren die Linux-Firewalls standardmäßig nur eingehende Datenverbindungen; d.h. aus dem Netzwerk zu einer Serveranwendung auf dem Rechner, auf dem die Firewall aktiv ist. Das Blockieren ausgehender Verbindungen (d.h. von einem Rechner zu einer bestimmten IP-Adresse) ist meines Wissens zwar machbar aber nicht trivial.

Da ich ausschließlich openSUSE verwende kann ich Dir leider keine Ubuntu-spezifischen Details geben. Aber es wird sich sicherlich ein anderes Forums-Mitglied finden ...

Viele Grüße

susejunky
Antworten