Autor Téma: OpenVPN a Bind9 (Přečteno 8666 krát)

predus · « **kdy:** 04 Dubna 2016, 14:26:05 »

Ahoj,

potřeboval bych poradit jak nastavit Bind9 pro klienta openVPN.

Mám funkční openVPN na 10.8.0.1
mám nastaveno v /etc/openvpn/server.conf: push "dhcp-option DNS 192.168.1.1"

dále jsem na /etc/bind/named.conf.options nastavil:
options {
directory "/var/cache/bind";
allow-recursion { 192.168.1.0/24;10.8.0.0/24; };
allow-query { 192.168.1.0/24;10.8.0.0/24; };
allow-transfer { none; };
forward only;
forwarders { 217.31.204.130; 193.29.206.206; };
dnssec-enable yes;
dnssec-validation yes;
auth-nxdomain no;
listen-on { 192.168.1.1;10.8.0.1; };
listen-on-v6 { any; };
};

stále mi ale pokud se připojím přes openvpn (10.8.0.1) odmítá směrovat vnitřní pc, pouze když jsem připojený přímo přes 192.168.1.0/24 tak vše chodí jak má.

ntz_reloaded · « **Odpověď #1 kdy:** 04 Dubna 2016, 16:25:21 »

resim podobny problem s virtualboxem ... potrebuju, aby muj lokalni named poslouchal na rozhrani vboxdrv, ale tam se "nenabinduje" pokud se named nastartuje pozdeji nez vpn .. tzn pro me funguje workaround restartovat named ..

eg, pokud se nastartuje nejdriv named a neni up ta adresa 10.8.0.1, tak se tam po startu vpn nenabinduje ...

ozkousej nejdriv pomoci ``netstat -tulnp'' ze to tak je ... dale si zkontroluj, ze ty adresy jsou spravne ... ja teda pro jednoduchost delam:

listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
allow-query { localhost; 192.168.255.0/24; 172.16.31.0/24; };
allow-query-cache { localhost; 192.168.255.0/24; 172.16.31.0/24; };

... ty dva rozsahy co vidis je jeden pro tun interfejsy z kvm a druhej pro vbox ... myslim, ze resim stejny problem ...

zaroven Ti doporucuju dat **listenovat on *any a osetrit ten pristup na urovni ACL v named.conf a iptables ..

btw, to Tvoje allow recursion mi pripada docela divoke .... ani radsi nechci vedet, proc davas +axfr takhle volne k dispozici ...

Petr Merlin Vaněček · « **Odpověď #2 kdy:** 04 Dubna 2016, 18:45:33 »

Mohu se zeptat, proč tam máš

Kód: [Vybrat]

push "dhcp-option DNS 192.168.1.1"
Neměla by tam být IP 10.8.0.1, coby VPN serveru, kde běží ten bind?
Tím myslím, že když nemáš push routu na 192.168.1.1, tak na IP do tohohle rozsahu klient nevidí - netuší, že se skrývá za 10.8.0.1 a pushovat IP 192.168.1.1, vzhledem k tomu, že to je jedna z nejběžnějších bran nejběžnějšího rozsahu, je trochu cesta do pekel ... nebo jsem to jen nepochopil ...

ntz_reloaded · « **Odpověď #3 kdy:** 04 Dubna 2016, 18:47:59 »

Citace: Petr Merlin Vaněček 04 Dubna 2016, 18:45:33

Mohu se zeptat, proč tam máš
Kód: [Vybrat]
push "dhcp-option DNS 192.168.1.1"
Neměla by tam být IP 10.8.0.1, coby VPN serveru, kde běží ten bind?
Tím myslím, že když nemáš push routu na 192.168.1.1, tak na IP do tohohle rozsahu klient nevidí - netuší, že se skrývá za 10.8.0.1 a pushovat IP 192.168.1.1, vzhledem k tomu, že to je jedna z nejběžnějších bran nejběžnějšího rozsahu, je trochu cesta do pekel ... nebo jsem to jen nepochopil ...

JJ ... tohodle jsem si ani nevsiml ...

Petr Merlin Vaněček · « **Odpověď #4 kdy:** 04 Dubna 2016, 18:51:02 »

Citace: ntz_reloaded 04 Dubna 2016, 18:47:59

Citace: Petr Merlin Vaněček 04 Dubna 2016, 18:45:33
Mohu se zeptat, proč tam máš
Kód: [Vybrat]
push "dhcp-option DNS 192.168.1.1"
Neměla by tam být IP 10.8.0.1, coby VPN serveru, kde běží ten bind?
Tím myslím, že když nemáš push routu na 192.168.1.1, tak na IP do tohohle rozsahu klient nevidí - netuší, že se skrývá za 10.8.0.1 a pushovat IP 192.168.1.1, vzhledem k tomu, že to je jedna z nejběžnějších bran nejběžnějšího rozsahu, je trochu cesta do pekel ... nebo jsem to jen nepochopil ...
JJ ... tohodle jsem si ani nevsiml ...

No ono je ještě pořád možné, že se snaží mít klienta, který je komplet směrovaný přes VPN, ale to bez konfigu VPN serveru a klienta jen dohaduji. Pak by to mohlo dávat smysl. I když bych se toho asi stejně bál.

predus · « **Odpověď #5 kdy:** 04 Dubna 2016, 19:28:52 »

ten bind9 není zrovna moje "doména", rozchodil jsem to jen tak tak...

push "dhcp-option DNS 192.168.1.1" - pochopil jsem, že to je dns server, který převezme vzdálený klient openvpn. Proto jsem ho tam dal. Měl jsem potíže s tím, že pokud se klient vpn připojil, tak mu spadnul internet kvůli DNS, tohle nastavení to odstranilo.

Petr Merlin Vaněček · « **Odpověď #6 kdy:** 04 Dubna 2016, 19:39:21 »

Citace: predus 04 Dubna 2016, 19:28:52

ten bind9 není zrovna moje "doména", rozchodil jsem to jen tak tak...

push "dhcp-option DNS 192.168.1.1" - pochopil jsem, že to je dns server, který převezme vzdálený klient openvpn. Proto jsem ho tam dal. Měl jsem potíže s tím, že pokud se klient vpn připojil, tak mu spadnul internet kvůli DNS, tohle nastavení to odstranilo.

Ano, přesně tak to je, ale pokud se klient nachází v subnetu, ve kterém není na 192.168.1.1 DNS server, nebude to fungovat. Ten klient neví, že by měl za IP adresou 10.8.0.1 hledat adresu 192.168.1.1. Pokud tedy není v tom samém subnetu, kde by tuhle IP našel, snaží se ji najít za svou vlastní výchozí bránou a ne za bránou VPN.

Myslím, že celý problém bude právě v tomto. Jak jsem psal - jediná situace, kdy by toto dávalo smysl je jen ve chvíli, kdy by veškerý síťový provoz byl směrován skrz VPN.

predus · « **Odpověď #7 kdy:** 04 Dubna 2016, 19:46:15 »

Citace: Petr Merlin Vaněček 04 Dubna 2016, 19:39:21

Citace: predus 04 Dubna 2016, 19:28:52
ten bind9 není zrovna moje "doména", rozchodil jsem to jen tak tak...

push "dhcp-option DNS 192.168.1.1" - pochopil jsem, že to je dns server, který převezme vzdálený klient openvpn. Proto jsem ho tam dal. Měl jsem potíže s tím, že pokud se klient vpn připojil, tak mu spadnul internet kvůli DNS, tohle nastavení to odstranilo.

Ano, přesně tak to je, ale pokud se klient nachází v subnetu, ve kterém není na 192.168.1.1 DNS server, nebude to fungovat. Ten klient neví, že by měl za IP adresou 10.8.0.1 hledat adresu 192.168.1.1. Pokud tedy není v tom samém subnetu, kde by tuhle IP našel, snaží se ji najít za svou vlastní výchozí bránou a ne za bránou VPN.

Myslím, že celý problém bude právě v tomto. Jak jsem psal - jediná situace, kdy by toto dávalo smysl je jen ve chvíli, kdy by veškerý síťový provoz byl směrován skrz VPN.

zítra až budu zase na klientovi nastavím push "dhcp-option DNS 10.8.0.1" a uvidím

predus · « **Odpověď #8 kdy:** 05 Dubna 2016, 11:21:41 »

Tak když nastavím push "dhcp-option DNS 10.8.0.1" tak internet na klientovi nespadne, přes IP se dostanu kamkoli v rámci subnetu 192.168.1.0, ale DNS mi nesměruje na pc, musím používat IP. Jsem víceméně tam kde jsem byl. Připadá mi, že problém, je v nastavení bind9 na 192.168.1.1 a ne na openvpn (byť ten push asi blbě byl ale na funkci vliv neměl).
Máte někdo nějakou radu? Bind9 není můj šálek

ntz_reloaded · « **Odpověď #9 kdy:** 05 Dubna 2016, 11:56:14 »

znovu si precti moji prvni odpoved !!!

predus · « **Odpověď #10 kdy:** 05 Dubna 2016, 12:27:47 »

Citace: ntz_reloaded 05 Dubna 2016, 11:56:14

znovu si precti moji prvni odpoved !!!

četl jsem ji, ale nejsem si jistý jestli dobře rozumím

před připojením openvpn:

udp 0 0 10.8.0.1:53 0.0.0.0:* 30625/named
udp 0 0 192.168.1.1:53 0.0.0.0:* 30625/named

Petr Merlin Vaněček · « **Odpověď #11 kdy:** 05 Dubna 2016, 15:38:40 »

Poslouchá, to asi jo, spíš jde o to zda bind vůbec potřebné názvy přeložit umí.
Tj. co to vrátí, když se zeptáš:

Kód: [Vybrat]

dig -t A pepik @10.8.0.1

predus · « **Odpověď #12 kdy:** 06 Dubna 2016, 07:44:31 »

Citace: Petr Merlin Vaněček 05 Dubna 2016, 15:38:40

Poslouchá, to asi jo, spíš jde o to zda bind vůbec potřebné názvy přeložit umí.
Tj. co to vrátí, když se zeptáš:
Kód: [Vybrat]
dig -t A pepik @10.8.0.1

V tomhle celkem plavu a není mi úplně jasné co znamená pepik (předpokladam že vnitřní název nějakého pc se záznamem v DNS) a co @10.8.0.1 (asi rozhraní ze kterého se ptám), pokud ano tak tady je výpis (dig zadávám na terminálu serveru při nepřipojeném openvpn), ale chytrý z toho teda nejsem:

; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> -t A domat @10.8.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 21714
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;domat. IN A

;; AUTHORITY SECTION:
. 10326 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2016040501 1800 900 604800 86400

;; Query time: 0 msec
;; SERVER: 10.8.0.1#53(10.8.0.1)
;; WHEN: Wed Apr 06 07:42:55 CEST 2016
;; MSG SIZE rcvd: 109

ntz_reloaded · « **Odpověď #13 kdy:** 06 Dubna 2016, 10:15:14 »

vyhrabani "pepika" me samotneho docela prekvapilo .... spis nam povez, jestli funguje dig na nejakou normalni domenu, eg:

Kód: [Vybrat]

# dig ubuntu.cz @localhost

; <<>> DiG 9.9.4-rpz2.13269.14-P2 <<>> ubuntu.cz @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12086
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 6

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ubuntu.cz.                     IN      A

;; ANSWER SECTION:
ubuntu.cz.              3600    IN      A       217.31.202.60

;; AUTHORITY SECTION:
ubuntu.cz.              18000   IN      NS      yasha.ubuntu.cz.
ubuntu.cz.              18000   IN      NS      trubka.network.cz.

;; ADDITIONAL SECTION:
yasha.ubuntu.cz.        18000   IN      A       217.31.202.60
yasha.ubuntu.cz.        18000   IN      AAAA    2001:1488:ffff::60
trubka.network.cz.      18000   IN      A       81.91.84.116
trubka.network.cz.      18000   IN      AAAA    2001:1568:b::145
trubka.network.cz.      18000   IN      AAAA    2001:1568:b:145::1

;; Query time: 9 msec
;; SERVER: ::1#53(::1)
;; WHEN: Wed Apr 06 10:14:53 CEST 2016
;; MSG SIZE  rcvd: 219

predus · « **Odpověď #14 kdy:** 06 Dubna 2016, 10:24:08 »

Citace: ntz_reloaded 06 Dubna 2016, 10:15:14

vyhrabani "pepika" me samotneho docela prekvapilo .... spis nam povez, jestli funguje dig na nejakou normalni domenu, eg:

Kód: [Vybrat]
# dig ubuntu.cz @localhost ; <<>> DiG 9.9.4-rpz2.13269.14-P2 <<>> ubuntu.cz @localhost ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12086 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 6 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;ubuntu.cz. IN A ;; ANSWER SECTION: ubuntu.cz. 3600 IN A 217.31.202.60 ;; AUTHORITY SECTION: ubuntu.cz. 18000 IN NS yasha.ubuntu.cz. ubuntu.cz. 18000 IN NS trubka.network.cz. ;; ADDITIONAL SECTION: yasha.ubuntu.cz. 18000 IN A 217.31.202.60 yasha.ubuntu.cz. 18000 IN AAAA 2001:1488:ffff::60 trubka.network.cz. 18000 IN A 81.91.84.116 trubka.network.cz. 18000 IN AAAA 2001:1568:b::145 trubka.network.cz. 18000 IN AAAA 2001:1568:b:145::1 ;; Query time: 9 msec ;; SERVER: ::1#53(::1) ;; WHEN: Wed Apr 06 10:14:53 CEST 2016 ;; MSG SIZE rcvd: 219

dig ubuntu.cz @localhost

; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> ubuntu.cz @localhost
;; global options: +cmd
;; connection timed out; no servers could be reached

ale:
dig ubuntu.cz @192.168.1.1

; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> ubuntu.cz @192.168.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28391
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ubuntu.cz. IN A

;; ANSWER SECTION:
ubuntu.cz. 3600 IN A 217.31.202.60

;; AUTHORITY SECTION:
ubuntu.cz. 86400 IN NS yasha.ubuntu.cz.
ubuntu.cz. 86400 IN NS trubka.network.cz.

;; ADDITIONAL SECTION:
yasha.ubuntu.cz. 1338 IN A 217.31.202.60
yasha.ubuntu.cz. 1338 IN AAAA 2001:1488:ffff::60

;; Query time: 22 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Apr 06 10:22:48 CEST 2016
;; MSG SIZE rcvd: 147

predus · « **Odpověď #15 kdy:** 06 Dubna 2016, 10:25:48 »

A ještě:

dig ubuntu.cz @10.8.0.1

; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> ubuntu.cz @10.8.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60940
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ubuntu.cz. IN A

;; ANSWER SECTION:
ubuntu.cz. 3462 IN A 217.31.202.60

;; AUTHORITY SECTION:
ubuntu.cz. 86262 IN NS yasha.ubuntu.cz.
ubuntu.cz. 86262 IN NS trubka.network.cz.

;; ADDITIONAL SECTION:
yasha.ubuntu.cz. 1200 IN A 217.31.202.60
yasha.ubuntu.cz. 1200 IN AAAA 2001:1488:ffff::60

;; Query time: 0 msec
;; SERVER: 10.8.0.1#53(10.8.0.1)
;; WHEN: Wed Apr 06 10:25:06 CEST 2016
;; MSG SIZE rcvd: 147

ntz_reloaded · « **Odpověď #16 kdy:** 06 Dubna 2016, 10:50:35 »

dnsko ti zjevne jde ... ukaz nam prosim vystup z ``ip a; ip r; arp -an'' pri pripojenem klientovi ... schovej si tam prosim verejnou ip adresu, lokalni rozsahy jsou samozrejme jedno .. asi to ukaz jak ze serveru, tak z klienta ...

dalsi vec co to muze (as mozna i zpusobuje) je firewall ... tzn pridej vypis z iptables-save ze serveru

predus · « **Odpověď #17 kdy:** 06 Dubna 2016, 12:18:43 »

Citace: ntz_reloaded 06 Dubna 2016, 10:50:35

dnsko ti zjevne jde ... ukaz nam prosim vystup z ``ip a; ip r; arp -an'' pri pripojenem klientovi ... schovej si tam prosim verejnou ip adresu, lokalni rozsahy jsou samozrejme jedno .. asi to ukaz jak ze serveru, tak z klienta ...

dalsi vec co to muze (as mozna i zpusobuje) je firewall ... tzn pridej vypis z iptables-save ze serveru

ze serveru, klient je Win7
# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP group default qlen 1000
link/ether 00:13:3b:10:17:f7 brd ff:ff:ff:ff:ff:ff
3: p2p1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether d0:50:99:53:b8:72 brd ff:ff:ff:ff:ff:ff
inet X.X.226.54/27 brd X.X.226.63 scope global p2p1
valid_lft forever preferred_lft forever
inet6 fe80::d250:99ff:fe53:b872/64 scope link
valid_lft forever preferred_lft forever
4: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP group default qlen 1000
link/ether 00:c2:c6:99:d7:cf brd ff:ff:ff:ff:ff:ff
5: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 00:13:3b:10:17:f7 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.1/24 brd 192.168.1.255 scope global br0
valid_lft forever preferred_lft forever
inet6 fe80::213:3bff:fe10:17f7/64 scope link
valid_lft forever preferred_lft forever
13: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
valid_lft forever preferred_lft forever

ip r
default via X.X.226.33 dev p2p1
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
X.X.226.32/27 dev p2p1 proto kernel scope link src X.X.226.54
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1

ip r
default via X.X.226.33 dev p2p1
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
X.X.226.32/27 dev p2p1 proto kernel scope link src X.X.226.54
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
root@skynet:~# arp -an
? (192.168.1.30) na <nekompletní> na br0
? (192.168.1.75) na <nekompletní> na br0
? (192.168.1.12) na cc:af:78:2a:fe:f4 [ether] na br0
? (192.168.1.46) na <nekompletní> na br0
? (192.168.1.5) na 00:04:9f:00:27:5f [ether] na br0
? (192.168.1.21) na <nekompletní> na br0
? (192.168.1.11) na <nekompletní> na br0
? (10.153.226.33) na 00:0c:42:c5:ac:f3 [ether] na p2p1
? (192.168.1.74) na <nekompletní> na br0
? (192.168.1.15) na <nekompletní> na br0
? (192.168.1.47) na <nekompletní> na br0
? (192.168.1.10) na <nekompletní> na br0
? (192.168.1.26) na 8c:c1:21:9d:0a:e8 [ether] na br0

++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++
# Generated by iptables-save v1.4.21 on Wed Apr 6 12:17:35 2016
*nat
:PREROUTING ACCEPT [45773:3616875]
:INPUT ACCEPT [20850:1647773]
:OUTPUT ACCEPT [13306:1102514]
:POSTROUTING ACCEPT [13585:1136285]
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o p2p1 -j MASQUERADE
COMMIT
# Completed on Wed Apr 6 12:17:35 2016
# Generated by iptables-save v1.4.21 on Wed Apr 6 12:17:35 2016
*filter
:INPUT DROP [11788:980592]
:FORWARD ACCEPT [865:48180]
:OUTPUT ACCEPT [7:336]
:fail2ban-apache - [0:0]
:fail2ban-apache-multiport - [0:0]
:fail2ban-apache-noscript - [0:0]
:fail2ban-apache-overflows - [0:0]
:fail2ban-dovecot-pop3imap - [0:0]
:fail2ban-owncloud - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -p tcp -j fail2ban-dovecot-pop3imap
-A INPUT -p tcp -j fail2ban-apache-overflows
-A INPUT -p tcp -j fail2ban-apache-noscript
-A INPUT -p tcp -j fail2ban-apache-multiport
-A INPUT -p tcp -j fail2ban-apache
-A INPUT -p tcp -j fail2ban-owncloud
-A INPUT -p tcp -j fail2ban-ssh-ddos
-A INPUT -p tcp -j fail2ban-ssh
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A fail2ban-apache -j RETURN
-A fail2ban-apache-multiport -j RETURN
-A fail2ban-apache-noscript -j RETURN
-A fail2ban-apache-overflows -j RETURN
-A fail2ban-dovecot-pop3imap -j RETURN
-A fail2ban-owncloud -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -i br0 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j ACCEPT
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 993 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 25 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 587 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 587 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 2234 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed Apr 6 12:17:35 2016

ntz_reloaded · « **Odpověď #18 kdy:** 06 Dubna 2016, 13:02:06 »

je to jasny ... podle me to reze firewall, mozna blbe koukam, ale povoleny udp/53 tam nevidim ...

predus · « **Odpověď #19 kdy:** 06 Dubna 2016, 13:10:32 »

Citace: ntz_reloaded 06 Dubna 2016, 13:02:06

je to jasny ... podle me to reze firewall, mozna blbe koukam, ale povoleny udp/53 tam nevidim ...

porty jsou povolené v rámci vnitřní sítě všechny, fw blokuje jen p2p1
teď jsem povolil i 53 a stejně to nesměruje

ntz_reloaded · « **Odpověď #20 kdy:** 06 Dubna 2016, 13:41:40 »

muzes mi ukazat, kterej radek na tom firewallu povoluje pristup na udp/53 z tun interfejsu ??

napovim, ``-A ufw-before-input -i br0 -j ACCEPT'' to opravdu neni ...

predus · « **Odpověď #21 kdy:** 06 Dubna 2016, 14:02:05 »

Citace: ntz_reloaded 06 Dubna 2016, 13:41:40

muzes mi ukazat, kterej radek na tom firewallu povoluje pristup na udp/53 z tun interfejsu ??

napovim, ``-A ufw-before-input -i br0 -j ACCEPT'' to opravdu neni ...

no já teda myslel, že je

každopádně teď:
# Generated by iptables-save v1.4.21 on Wed Apr 6 13:59:57 2016
*nat
:PREROUTING ACCEPT [50667:3949807]
:INPUT ACCEPT [21338:1679440]
:OUTPUT ACCEPT [13748:1135813]
:POSTROUTING ACCEPT [14027:1169584]
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o p2p1 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o p2p1 -j MASQUERADE
COMMIT
# Completed on Wed Apr 6 13:59:57 2016
# Generated by iptables-save v1.4.21 on Wed Apr 6 13:59:57 2016
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-apache - [0:0]
:fail2ban-apache-multiport - [0:0]
:fail2ban-apache-noscript - [0:0]
:fail2ban-apache-overflows - [0:0]
:fail2ban-dovecot-pop3imap - [0:0]
:fail2ban-owncloud - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -p tcp -j fail2ban-dovecot-pop3imap
-A INPUT -p tcp -j fail2ban-apache-overflows
-A INPUT -p tcp -j fail2ban-apache-noscript
-A INPUT -p tcp -j fail2ban-apache-multiport
-A INPUT -p tcp -j fail2ban-apache
-A INPUT -p tcp -j fail2ban-owncloud
-A INPUT -p tcp -j fail2ban-ssh-ddos
-A INPUT -p tcp -j fail2ban-ssh
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A fail2ban-apache -j RETURN
-A fail2ban-apache-multiport -j RETURN
-A fail2ban-apache-noscript -j RETURN
-A fail2ban-apache-overflows -j RETURN
-A fail2ban-dovecot-pop3imap -j RETURN
-A fail2ban-owncloud -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -i br0 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j ACCEPT
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 993 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 25 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 587 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 587 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 2234 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1194 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 53 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 53 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed Apr 6 13:59:57 2016

a stále nic

ntz_reloaded · « **Odpověď #22 kdy:** 06 Dubna 2016, 14:43:30 »

ukaz nam jeste jednou prosim ta acl v named.conf

ps ... ja mam taky na svem serveru lokalni named a openvpn ... akorat to resim takhle:

Kód: [Vybrat]

-A INPUT -i xenbr0 -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -i xenbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 172.16.255.0/29 -j ACCEPT


# ip a s dev tun0
27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/[65534] 
    inet 172.16.255.1 peer 172.16.255.2/32 scope global tun0

^^ eg xenbr0 je moje lan a tam povoluju selektivne 53, z tun0 (aka pres rozsah -s 172.16.255.0/29) povoluju vsechno ... samozrejme mi to chodi ... v named.conf mam

Kód: [Vybrat]

        allow-query { localhost; 192.168.0.0/16; 172.16.255.0/24; };
        allow-query-cache { localhost; 192.168.0.0/16; 172.16.255.0/24; };

^^ povsimni si, jake prasarny tam mam s tou maskou v named.conf

... eg jak jsem prodlouzil puvodnich 29bitu na 24 a ze mam 192.168.0.0/16 (asi to odstranim)

predus · « **Odpověď #23 kdy:** 06 Dubna 2016, 15:02:20 »

Citace: ntz_reloaded 06 Dubna 2016, 14:43:30

ukaz nam jeste jednou prosim ta acl v named.conf

ps ... ja mam taky na svem serveru lokalni named a openvpn ... akorat to resim takhle:

Kód: [Vybrat]
-A INPUT -i xenbr0 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -i xenbr0 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -s 172.16.255.0/29 -j ACCEPT # ip a s dev tun0 27: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/[65534] inet 172.16.255.1 peer 172.16.255.2/32 scope global tun0
^^ eg xenbr0 je moje lan a tam povoluju selektivne 53, z tun0 (aka pres rozsah -s 172.16.255.0/29) povoluju vsechno ... samozrejme mi to chodi ... v named.conf mam

Kód: [Vybrat]
allow-query { localhost; 192.168.0.0/16; 172.16.255.0/24; }; allow-query-cache { localhost; 192.168.0.0/16; 172.16.255.0/24; };
^^ povsimni si, jake prasarny tam mam s tou maskou v named.conf ... eg jak jsem prodlouzil puvodnich 29bitu na 24 a ze mam 192.168.0.0/16 (asi to odstranim)

/etc/bind/named.conf.options

options {
directory "/var/cache/bind";
allow-recursion { 192.168.1.0/24;10.8.0.0/24; };
allow-query { 192.168.1.0/24;10.8.0.0/24; };
allow-transfer { none; };
forward only;
forwarders { 217.31.204.130; 193.29.206.206; };
dnssec-enable yes;
dnssec-validation yes;
auth-nxdomain no;
listen-on { 192.168.1.1;10.8.0.1; };
listen-on-v6 { any; };
};

nevím, procházel jsem kdejaké weby a nic jsem nevykoumal. Jako jede to ale musím zadat ip abych se dostal tam kam chci. Když už mi tam běží ten bind, tak proč ho nevyužít ...

ntz_reloaded · « **Odpověď #24 kdy:** 06 Dubna 2016, 15:14:20 »

1) proc vytrvale nepouzivas tag code ?

2) tohle tam vidim poprvy, mozna jsem si toho nevsiml driv:

forward only;
forwarders { 217.31.204.130; 193.29.206.206; };

^^ takze v podstate tam zadnej bind nebezi (jen zbytecnej proces navic) ... to rovnou muzes pushovat jako nameservery `` 217.31.204.130; 193.29.206.206;''

takze znovu, pouzij utility tcpdump a dig, abys zjistil, kde mas problem ... ``tcpdump -i tun0 port 53'' ti presne ukaze jakej je provoz na tom serveru ... jake IPs na to lezou, etc .... dale se koukni do logu bindu ..

Abych se priznal, tak timto jsem ztratil veskery zbytek zajmu o tenhle thread protoze lapidarne receno: tobe nikde zadnej lokalni named nebezi (forward only je pseudorun), jedine co doufam je, ze to nedelas za penize ....