schneibva
Anmeldungsdatum: 25. Dezember 2006
Beiträge: Zähle...
Wohnort: Franken
|
Mich nerven diese ständigen Ads mit Werbung, bisher habe ich in meinem Netzwerk die /etc/hosts bzw. bei den W-Rechnern die c:\windows\system32\drivers\etc\hosts entsprechend geändert. Bei allen Rechnern natürlich ein ständiges umkopieren bei jeder Änderung und Wildcards gehen auch nicht. Also dnsmasq auf einem Linux-Server installiert (der hat auch noch XFCE als Desktop), den network-manager geändert und /etc/dnsmasq.conf entsprechend mit address=/... gefüttert. Das läuft sehr gut auf dem Server, leider gar nicht auf den anderen Rechnern, obwohl ich da die Adresse für den DNS-Server auf meinen Linux-Rechner mit dnsmasq umgestellt habe. Beispiel: meine dnsmasq.conf sieht versuchsweise so aus: address=/microsoft.com/127.0.0.1 Auf dem Server funzt das, www.microsoft.com wird nicht gefunden, ubuntuusers.de schon. Gut. Auf den anderen Rechnern (egal ob Windows oder Linux) habe ich als DNS-Server eingetragen 192.168.0.20 (mein Server). Die haben alle feste IP-Adressen, kein DHCP. Diese Rechner finden dann weder www.microsoft.com, noch ubuntuusers.de noch irgendeinen anderen Rechner im Internet. Trage ich einen 2. DNS-Server ein (z.B. den Router), dann finden die auch www.microsoft.com. Mist.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
schneibva schrieb: Auf den anderen Rechnern (egal ob Windows oder Linux) habe ich als DNS-Server eingetragen 192.168.0.20 (mein Server). Die haben alle feste IP-Adressen, kein DHCP. Diese Rechner finden dann weder www.microsoft.com, noch ubuntuusers.de noch irgendeinen anderen Rechner im Internet. Trage ich einen 2. DNS-Server ein (z.B. den Router), dann finden die auch www.microsoft.com. Mist.
Wie lauscht der dnsmasq auf deinem Server? Wie ist auf dem Server, die Ausgabe von:
sudo netstat -tulpen
?
Starte mal auch auf deinem Server, tcpdump:
sudo tcpdump -vvveni any src net 192.168.0.0/24 and dst port 53
und danach auf dem Linux-Client-PC eine Anfrage mit:
host heise.de 192.168.0.20
host microsoft.com 192.168.0.20
|
schneibva
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2006
Beiträge: Zähle...
Wohnort: Franken
|
sudo netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 2867 1088/sshd
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 0 18001 2634/cupsd
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 0 2968 751/smbd
tcp 0 0 0.0.0.0:5001 0.0.0.0:* LISTEN 0 13263 2090/iperf
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 0 2969 751/smbd
tcp 0 0 0.0.0.0:5900 0.0.0.0:* LISTEN 1000 13120 2005/vino-server
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 0 10639 1358/dnsmasq
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 0 1902 1103/dnsmasq
tcp6 0 0 :::22 :::* LISTEN 0 2869 1088/sshd
tcp6 0 0 :::631 :::* LISTEN 0 18002 2634/cupsd
tcp6 0 0 :::445 :::* LISTEN 0 2966 751/smbd
tcp6 0 0 :::5800 :::* LISTEN 1000 13116 2005/vino-server
tcp6 0 0 :::139 :::* LISTEN 0 2967 751/smbd
tcp6 0 0 :::5900 :::* LISTEN 1000 13119 2005/vino-server
tcp6 0 0 ::1:53 :::* LISTEN 0 1904 1103/dnsmasq
udp 0 0 0.0.0.0:5353 0.0.0.0:* 104 2947 1263/avahi-daemon:
udp 0 0 0.0.0.0:38985 0.0.0.0:* 104 2949 1263/avahi-daemon:
udp 0 0 127.0.1.1:53 0.0.0.0:* 0 10638 1358/dnsmasq
udp 0 0 127.0.0.1:53 0.0.0.0:* 0 1901 1103/dnsmasq
udp 0 0 192.168.0.20:123 0.0.0.0:* 0 10205 1522/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 0 10204 1522/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 0 10197 1522/ntpd
udp 0 0 192.168.0.255:137 0.0.0.0:* 0 10222 1525/nmbd
udp 0 0 192.168.0.20:137 0.0.0.0:* 0 10221 1525/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 0 10218 1525/nmbd
udp 0 0 192.168.0.255:138 0.0.0.0:* 0 10224 1525/nmbd
udp 0 0 192.168.0.20:138 0.0.0.0:* 0 10223 1525/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 0 10219 1525/nmbd
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 18011 1223/cups-browsed
udp6 0 0 :::5353 :::* 104 2948 1263/avahi-daemon:
udp6 0 0 :::54753 :::* 104 2950 1263/avahi-daemon:
udp6 0 0 ::1:53 :::* 0 1903 1103/dnsmasq
udp6 0 0 fe80::1e6f:65ff:fe4:123 :::* 107 13355 1522/ntpd
udp6 0 0 ::1:123 :::* 0 10206 1522/ntpd
udp6 0 0 :::123 :::* 0 10198 1522/ntpd und host heise.de 192.168.0.20
;; connection timed out; no servers could be reached
host microsoft.com 192.168.0.20
;; connection timed out; no servers could be reached ein ping oder ssh auf den Server geht aber.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
schneibva schrieb: tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 0 10639 1358/dnsmasq
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 0 1902 1103/dnsmasq
tcp6 0 0 ::1:53 :::* LISTEN 0 1904 1103/dnsmasq
udp 0 0 127.0.1.1:53 0.0.0.0:* 0 10638 1358/dnsmasq
udp 0 0 127.0.0.1:53 0.0.0.0:* 0 1901 1103/dnsmasq
udp6 0 0 ::1:53 :::* 0 1903 1103/dnsmasq
Da der dnsmasq z. Zt. "nur" auf der IP-Adresse 127.0.0.1 bzw. 127.0.1.1 lauscht, ist dieser aus dem Subnetz 192.168.0.0/24 nicht erreichbar.
|
schneibva
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2006
Beiträge: 500
Wohnort: Franken
|
lubux schrieb: Da der dnsmasq z. Zt. "nur" auf der IP-Adresse 127.0.0.1 bzw. 127.0.1.1 lauscht, ist dieser aus dem Subnetz 192.168.0.0/24 nicht erreichbar.
Was muss ich da in der der dnsmasq.conf einstellen, der Wiki-Artikel ist da m.E. nicht besonders erhellend? Laut Wiki braucht man nichts mehr zu konfigurieren.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
schneibva schrieb: Was muss ich da in der der dnsmasq.conf einstellen, der Wiki-Artikel ist da m.E. nicht besonders erhellend? Laut Wiki braucht man nichts mehr zu konfigurieren.
Das ist vom installierten dnsmasq abhängig. Wenn Du einen dnsmasq mit der /etc/dnsmasq.conf benutzt, dann siehe in der manpage, die Erklärungen zu:
-i, --interface=<interface name>
-I, --except-interface=<interface name>
-a, --listen-address=<ipaddr>
Ich denke, das Wiki geht von "dnsmasq-base" aus, d. h. ohne dnsmasq.conf-Datei.
|
schneibva
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2006
Beiträge: 500
Wohnort: Franken
|
Ich habe jetzt in die /etc/dnsmasq.conf noch zusätzlich eingetragen: listen-address=127.0.0.1
listen-address=192.168.0.20 und es geht! Das Wiki ist da leider unvollständig.
Danke für die Hilfe.
S.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
schneibva schrieb: Das Wiki ist da leider unvollständig.
Naja, das Wiki geht evtl. davon aus, dass der dnsmasq nur von bzw. nur mit dem Gerät benutzt wird, auf dem er auch installiert ist und nicht von anderen Geräten im (W)LAN/etc. .
|
elektronenblitz63
Anmeldungsdatum: 16. Januar 2007
Beiträge: 29307
Wohnort: NRW
|
schneibva schrieb: und es geht! Das Wiki ist da leider unvollständig.
Hallo, dann ergänze das Wiki doch entsprechend, wenn Du eine funktionierende Konfiguration für diesen Einsatzzweck vorliegen hast.
|
schneibva
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2006
Beiträge: 500
Wohnort: Franken
|
elektronenblitz63 schrieb: Hallo, dann ergänze das Wiki doch entsprechend, wenn Du eine funktionierende Konfiguration für diesen Einsatzzweck vorliegen hast.
Ist hiermit erledigt. ich denke, es ist verständlich.
VG S.
|
elektronenblitz63
Anmeldungsdatum: 16. Januar 2007
Beiträge: 29307
Wohnort: NRW
|
Ok, Danke. Gibt es jetzt noch spezielle Einstellungen, damit dnsmasq als Werbefilter funktioniert, oder werden mittels address=/... nur bestimmte Seiten geblockt?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
elektronenblitz63 schrieb: ..., oder werden mittels address=/... nur bestimmte Seiten geblockt?
Meiner Erfahrung nach wird nur eine bestimmte Seite geblockt. Leider funktioniert dnsspoof (... mit wildcards) nicht mehr mit 14.04.
Wenn man die Namensauflösung für einen "String" verhindern will, kann man z. B. auch iptables (... besser auf dem Router oder man verhindert mit dem Router die Benutzung von "externen"/anderen DNS-Servern aus dem W/LAN) benutzen:
sudo iptables -A OUTPUT -p udp --dport 53 -m string --algo kmp --string microsoft -j REJECT
sudo iptables -A OUTPUT -p tcp --dport 53 -m string --algo kmp --string microsoft -j REJECT
Test (... nur bei leeren dns-caches):
host microsoft.com
host microsoft.de
host microsoft.com 8.8.8.8
host microsoft.de 8.8.4.4
ping -c 3 -W 2 microsoft.com
Siehe den counter:
sudo iptables -nvx -L OUTPUT | grep -i microsoft
|
schneibva
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2006
Beiträge: 500
Wohnort: Franken
|
elektronenblitz63 schrieb: Ok, Danke. Gibt es jetzt noch spezielle Einstellungen, damit dnsmasq als Werbefilter funktioniert, oder werden mittels address=/... nur bestimmte Seiten geblockt?
Das ist ja das schöne an Dnsmasq: es hat beim umleiten eine Art Wildcard-Funktion. Die folgende Zeile in /etc/dnsmasq.conf
address=/cookie-schleuder.com/127.0.0.1
blockt auch www.cookie-schleuder.com, ads.cookie-schleuder.com usw. Man muss halt aufpassen, dass dadurch keine erwünschten Seiten blockiert werden. Probiert es doch einfach mal aus. VG S.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
schneibva schrieb: Das ist ja das schöne an Dnsmasq: es hat beim umleiten eine Art Wildcard-Funktion. Die folgende Zeile in /etc/dnsmasq.conf
address=/cookie-schleuder.com/127.0.0.1
blockt auch www.cookie-schleuder.com, ads.cookie-schleuder.com usw. Man muss halt aufpassen, dass dadurch keine erwünschten Seiten blockiert werden.
Naja, nur eine "Art Wildcard-Funktion". Richtige Wildcard-Funktion wäre z. B.:
address=/*cookie-schleuder*/127.0.0.1
und das geht nicht. Das kann aber z. B. dnsspoof bis 12.04.
|
Hans9876543210
Anmeldungsdatum: 2. Januar 2011
Beiträge: 3741
|
Sorry fürs uppen aber eine Verständnisfrage: Warum eigentlich noch die localhosts Adresse zum Blocken nehmen wenn eigentlich (auch im Wiki) die 0.0.0.0 empfohlen wird?
|