Hallo!

Wir betreiben ein Netzwerk mit circa 500 Nutzern, bei dem nur Nutzer mit einer öffentlichen statischen IP ins Internet kommen. Da diese Leute allerdings häufig wechseln, weiß das nicht jeder. Wenn nun ein neuer kommt und sich einfach erstmal mit unserem Netz verbindet, wird er über DHCP in einem lokalen Netzwerk erst einmal aufgefangen und hat nur Zugriff auf www.unsere-homepage.de.

Das Problem besteht nun darin, alle DNS-Anfragen aus dem lokalem Netzwerk auf www.unsere-homepage.de/infopage.php umzubiegen. Es wäre auch eine Umleitung von z.B. http://192.168.1.1 auf die entsprechende Seite möglich. Aber wie konfiguriert man den DNS-Server (für allgemeine Anfragen läuft bisher Bind, aber es wäre auch ein anderer parallel nur für diesen Zweck möglich), dass er auf alle DNS-Anfragen die gleiche Antwort gibt?

Tschüss Markus

Chickenmarkus schrieb:

Das Problem besteht nun darin, alle DNS-Anfragen aus dem lokalem Netzwerk auf www.unsere-homepage.de/infopage.php umzubiegen. Es wäre auch eine Umleitung von z.B. http://192.168.1.1 auf die entsprechende Seite möglich. Aber wie konfiguriert man den DNS-Server (für allgemeine Anfragen läuft bisher Bind, aber es wäre auch ein anderer parallel nur für diesen Zweck möglich), dass er auf alle DNS-Anfragen die gleiche Antwort gibt?

Das wäre z. B. auch mit dnsspoof möglich. In die hostsfile-Datei:

192.168.1.1      *

eintragen.

OK, das würde prinzipiell funktionieren, und zwar erstaunlich einfach.

Allerdings snifft der dann ja quasi jeden Datenverkehr (auch den der statischen IPs, die dann nur über den optionalen tcpdump-Filter ignoriert werden) mit. Eine Möglichkeit über einen DNS-Server, der nur antwortet, wenn man ihn explizit fragt, gibt es wohl nicht? Der würde dann ja per DHCP mit übergeben werden. Und wer ihn ändert, hat immer noch keine Verbindung nach außerhalb, halt nur keine Umleitung auf die Info-Seite.
Danach habe ich mich im Internet nämlich schon fast zu Tode gesucht.

Chickenmarkus schrieb:

Allerdings snifft der dann ja quasi jeden Datenverkehr (auch den der statischen IPs, ...

Nein. Du kannst für dnsspoof auch einen Filter konfigurieren bzw. angeben.

mickydoutza schrieb:

Chickenmarkus schrieb:

Allerdings snifft der dann ja quasi jeden Datenverkehr (auch den der statischen IPs, die dann nur über den optionalen tcpdump-Filter ignoriert werden)

Nein. Du kannst für dnsspoof auch einen Filter konfigurieren bzw. angeben.

Aber um zu sehen, ob ein Datenpaket diesen Filter erfüllt, muss es auch erst einmal begutachtet werden, oder etwa nicht?

Chickenmarkus schrieb:

Aber um zu sehen, ob ein Datenpaket diesen Filter erfüllt, muss es auch erst einmal begutachtet werden, oder etwa nicht?

dnsspoof macht die "Begutachtung" der Datenpakete.

Also gehen alle Pakete durch die Finger von dnsspoof.

Meiner Meinung nach wäre es eleganter, wenn die erlaubten Pakete nicht noch eine Instanz durchlaufen müssen, sondern die Pakete aus dem lokalen Netzwerk, die direkt danach fragen, erst eine Reaktion auslösen.

Chickenmarkus schrieb:

... erst eine Reaktion auslösen.

Kannst Du betr. Reaktion, hier ein Beispiel beschreiben?

EDIT:

Chickenmarkus schrieb:

... wenn die erlaubten Pakete nicht noch eine Instanz durchlaufen müssen

Welche Instanz(en), außer dnsspoof, durchlaufen die erlaubten Pakete, deines Wissens, schon (d. h. bevor diese auf dnsspoof treffen)? Weißt Du wo dnsspoof die Pakete abfängt, auswertet und umleitet oder auch nicht umleitet?

mickydoutza schrieb:

Kannst Du betr. Reaktion, hier ein Beispiel beschreiben?

Mit dnsspoof stelle ich mir es folgendermaßen vor:
Vor irgendeiner viel benutzten Tür steht ein Türsteher (dnsspoof). Der fragt nun jeden, ob er Max Mustermann (DNS-Request aus lokalem Netzwerk) heißt. Ist dem so, gibt er ihm einen Gutschein für ein Freigetränk (DNS-Antwort auf 192.168.1.1) und schickt ihn zurück. Ist er es nicht, kann er einfach passieren. Das ist allerdings ziemlich umständlich.

Sinnvoller erachte ich, wenn jemand neben der Tür steht und einfach wartet, bis er gefragt wird (DNS-Server). Max Mustermann weiß nun von seinem Freund, dass er ihn fragen soll (DHCP-Server hat DNS-Server angegeben). Er geht also von sich aus zu ihm und bekommt den Gutschein. Erspart einfach einen Zugriff auf alle.

mickydoutza schrieb:

Welche Instanz(en), außer dnsspoof, durchlaufen die erlaubten Pakete, deines Wissens, schon (d. h. bevor diese auf dnsspoof treffen)? Weißt Du wo dnsspoof die Pakete abfängt, auswertet und umleitet oder auch nicht umleitet?

Mir ist da aber eben ziemlich wenig bekannt. Die Pakete finden ihren Weg durch die Switches (die sind aber auch direkt darauf ausgelegt) zum Server. Dort müssen sie durch iptables-Regeln und werden, sofern nicht fallen gelassen, an die entsprechend nächste Device weitergeleitet. Ist also alles recht überschaubar, wo ein weiterer Durchlauf den Aufwand schon fast verdoppelt. Zudem birgt die Gefahr einer einzigen Brücke, wo immer alle drüber müssen, die Gefahr, dass keiner mehr rüber kann, sobald mal die eine Brücke ausfällt.

Wegen diesem weitreichenden Unwissen lasse ich mich auch gerne belehren. Aber bisher habe ich von Dir weder einen "googlebaren" Ansatz geschweige denn eine Erklärung zur Weiterbildung erhalten. Überspitzt zusammengefasst kam bis jetzt nur "Hast du denn keine Ahnung? Das hier ist genau das richtige!". Meine Bedenken wurden allerdings noch nicht wirklich durch Aufklärung aus der Welt geschafft.

Chickenmarkus schrieb:

Sinnvoller erachte ich, wenn jemand neben der Tür steht und einfach wartet, bis er gefragt wird (DNS-Server).

Und genau das macht dnsspoof. dnsspoof ist "man-in-the-middle", zwischen dem Client und dem DNS-Server. dnsspoof fangt nur UDP-traffic, der vom Client zum UDP-Port 53 des DNS-Servers geht, ab. D. h., dnsspoof wartet bis der Client auf UDP-Port 53 eine Anfrage (Namensauflösung) macht und dann filtert er und leitet evtl. um.

Chickenmarkus schrieb:

Meine Bedenken wurden allerdings noch nicht wirklich durch Aufklärung aus der Welt geschafft.

Ich habe nicht vor dich aufzuklären. Wenn Du nicht in der Lage bist, die Funktionsweise von dnsspoof zu verstehn, dann ist dnsspoof nicht die richtige Lösung/Anwendung für dein Anliegen. Ich schlage vor, Du suchst nach einer anderen Lösung.