AbcLinuxu:/ Poradna / Linuxová poradna / OpenWrt nastavení IP Sets a DNS záznamu

Štítky: DNS, hosts, Internet, LAN, nastavení, OpenWrt, PC, překlad, router, server, sítě

Dotaz: OpenWrt nastavení IP Sets a DNS záznamu

4.1.2016 10:39 Mirek8 | Kladno
OpenWrt nastavení IP Sets a DNS záznamu

Přečteno: 971×

Odpovědět | Admin

Potřebuji pro asi 20 IP adres povolit přístup z LAN do WAN a napadlo mě, že lepší než napsat 20 pravidel by bylo použití IP Sets. Bohužel z oficiálního popisu https://wiki.openwrt.org/doc/uci/firewall#ip_sets nejsem moc moudrý a tak bych chtěl poprosit o nějaký příklad, jak nastavit IP Sets a jak ho pak použít v nějakém pravidlu. IP adresy jsou "náhodné" a nejsou v žádném bloku, takže se musí vyjmenovat po jedné.

A druhý dotaz je k nastavení DNS - chtěl bych, aby pro PC v LAN (mají DNS server nastaven na router s OpenWRT) se mi překládaly lokální jména na IP. Například aby když na PC napíšu "router" se mi vrátila IP adresa routeru 192.168.1.1 V konfiguraci jsem našel jen nastavení hosts, kde když uvedu tento překlad, tak se mi v luci na routeru ukazují přeložené IP adresy na tato jména, ale DNS dotaz ze stanice je nefunkční.

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

4.1.2016 11:14 erotel
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Co se týká ipset.

Vytvoříš si pravidlo,které bude kontrolovat povolené adresy v hash tabulce.Já to mám například takhle:

iptables -A FORWARD -i $LAN1_IFACE -m set --match-set povol src -j ACCEPT

Potom do tabulky povol si dáš povolené IP.

ipset -A povol X.X.X.X

Co se týče DNS hledej BIND,ale nevím jestli je na Openwrt.

4.1.2016 11:25 erotel
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

ješte jsem zapoměl,že je u IPSET potřeba vytvořit hash tabulku.

ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50

4.1.2016 16:36 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Tohle bohužel platí na plnohodnotném linuxu, u OpenWRT je to trochu jinak - viz můj odkaz na popis konfigurace toho IPsets v OpenWRT

5.1.2016 09:07 erotel
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

No zkoušel jsem to v Openwrt,který mám nainstalovaný v TP-LINKU.

4.1.2016 11:19 NN
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

dnsmasq

4.1.2016 16:33 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Původně jsem si myslel, že mi router nepřekládá to co má hosts, ale teď jsem přišel na to, že ke jménu musím doplnit i doménovou příponu a to nechci, já chci, aby fungoval překlad jen pro "router" abych nemusel doplňovat tu doménu (předdefinovaná je lan, takže router.lan funguje). Přitom v konfiguraci má zrušenouo volbu "Domain required" a stejně tak nemám nastaveno "Expand hosts". Netuší někdo, kde je problém?

4.1.2016 17:32 j
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

To se dela tak, ze pomoci dhcp predas (mimo jine) parametr s nazvem lokalni domeny (muze jich bejt vic) a klient pak v pripade, ze neni domena zadana, zkousi prave ty domeny, ktery mu predas jako lokalni. (option domain-name)

Alternativne (widle) potrebujes wins server.

Pochopitelne v DNS musis ty zaznamy mit, v hosts ti jsou na kulovy. Ale muzes je tam naladovat (trebas) z dhcp.

Co se pak tyce firewallu, je to pomerne jednoduchy. OpenWRT obsahuje nejakej nepouzivanejsi subset modulu. Existujou pak jeste balicky, ktery muzou obsahovat dalsi moduly (pohledej) nebo si je muzes vlastnosrucne (nekde na PC samo) prekompilovat a do systemu dodat tak (nepotrebujes vyrabet balicek, staci ti jen modul). To samo vyzaduje udelat totez pri kazdy aktualizaci jadra.

Pro tvuj ucel pak bude o nekolik radu efektivnejsi tam tech 20 Ipcek napsat. Ostatne, vykonostne je jedno, set ma smysl kdyz ti to vadi kvuli prehlednosti, ne kvuli vykonu.

4.1.2016 17:34 j
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Jop, vic samo patri do option domain-search

4.1.2016 21:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

To samo vyzaduje udelat totez pri kazdy aktualizaci jadra.

Ne nutně. Pokud distribuce při updatech zachovává kABI, bude modul fungovat bez rebuildu.

Ostatne, vykonostne je jedno, set ma smysl kdyz ti to vadi kvuli prehlednosti, ne kvuli vykonu.

Pro 20 adres nejspíš ano, při větším počtu tam bude i výrazný rozdíl v náročnosti na CPU (a latencích). Použití ipset je také výrazně výhodnější, pokud je potřeba tu množinu často měnit.

4.1.2016 18:21 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Tak mám další problém s DNS - potřebuji DNS dotazy předávat na určitý DNS server, který mi vrátí i DNS překlad pro stroje v síti providera. Problém nastal při odesílání pošty, kdy mám použít smtp server providera a DNS mi ho neumí přeložit. Přitom mám v konfiguraci vyplněné položky pro DNS forwardings na DNS servery providera a zkontrolováno podle manuálu https://wiki.openwrt.org/doc/howto/dhcp.dnsmasq#configuring_dnsmasq_to_forward_dns_requests_to_public_dns_servers že položky v konfiguračním souboru /etc/config/dhcp list server 'x.x.x.x' jsou opravdu správně vyplněné

4.1.2016 21:51 Geri
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

V OpenWRT je k dispozici Bind. Zmiňovaný dnsmasq lze zachovat jako DHCP server (když už v posledních verzích nezachovali isc dhcp server) a Bind nasadit jako DNS server.

Vyřeší to hodně věcí.

5.1.2016 15:31 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Tak bind mi nepomůže, neboť mám málo místa a nevejde se. A vytvářet si vlastní image na to se tedy necítím.

5.1.2016 18:11 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Prostě nainstaluješ sw aby se připojila flash automaticky a na flash uděláš kopii a pak si další sw instaluješ na flash a běží to pak s flash.

Ale je to blbost.

Nevím co s tím vyvádíš, ale já jsem vše naklikal v www a funguje to normálně zadáš htpc a vrátí IP htpc, zadáš htpc.moje.co a zase to vrátí správnou lokální IP.

K ipset by to mělo fungovat jako na normálním linuxu, ale pro 20 PC to podle mě není nutnost používat, používá se to pro rychlejší průchod paketů přes firewall (nemusí se testovat všechny pravidla).

5.1.2016 18:48 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

No já s tím nic nedělal a po instalaci jsem pouze zjistil, že mi to dns nefunguje podle mých představ a tak jsem začal zjišťovat proč a zatím se mi nepodařilo to nastavit tak jak říkáš že ti to funguje. Jak tedy máš ten dnsmasq nakonfigurován, že ti to funguje jak bez domény, tak i s doménou?

A druhá věc je, že vůbec nerozumím tomu, proč mi nefunguje ten dns překlad pro ten smtp server, neboť jak jsem si ověřoval, tak i kdyby ten dnsmasq nepředával dotazy na ty dns servery providera (odkud by měl získat správnou lokální adresu), tak by měl získat veřejnou ip adresu tohoto smtp serveru a není důvod vrátit chybu, že se adresu nepodařilo převést na IP

5.1.2016 20:07 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

config dnsmasq
	option domainneeded '1'
	option boguspriv '1'
	option localise_queries '1'
	option rebind_protection '1'
	option rebind_localhost '1'
	option expandhosts '1'
	option authoritative '1'
	option leasefile '/tmp/dhcp.leases'
	option resolvfile '/tmp/resolv.conf.auto'
	option domain 'soban.cz'
	option dnsforwardmax '50'
	list server '217.31.204.130'
	list server '193.29.206.206'
	list server '2001:1488:800:400::130'
	list server '2001:678:1::206'

config dhcp 'lan'
	option interface 'lan'
	option start '20'
	option limit '64'
	option leasetime '12h'
	option dhcpv6 'server'
	option ra_management '1'
	option ra 'server'

config dhcp 'wan'
	option interface 'wan'
	option ignore '1'

config odhcpd 'odhcpd'
	option maindhcp '0'
	option leasefile '/tmp/hosts/odhcpd'
	option leasetrigger '/usr/sbin/odhcpd-update'

config host
	option name 'htpc'
	option mac '00:26:18:f3:96:60'
	option ip '192.168.1.12'

config domain
	option name 'htpc'
	option ip '192.168.1.12'

config domain
	option name 'petr'
	option ip '192.168.1.11'

config domain
	option name 'hodiny'
	option ip '192.168.1.100'

config host
	option name 'petr'
	option mac '54:04:a6:a6:81:6f'
	option ip '192.168.1.11'

config host
	option name 'hodiny'
	option mac '22:da:e2:a8:86:2a'
	option ip '192.168.1.100'

5.1.2016 20:21 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Tak tahle konfigurace mě nefunguje. Ping na "router" se nepovede. A jen by mě zajímalo, podle čeho pozná ten dns server tu tvojí doménovou příponu, aby ti to mohl přeložit i s doménovým jménem - nikde jí v konfiguraci nevidím. A jen pro upřesnění já mám poslední OpenWRT 15.05 a ty?

5.1.2016 20:50 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

option domain .....v konfiguraci dnsmasq.

a v system konfiguráku mám:

config system
	option zonename 'Europe/Prague'
	option timezone 'CET-1CEST,M3.5.0,M10.5.0/3'
	option conloglevel '8'
	option cronloglevel '8'
	option hostname 'router.soban.cz'

Taky je to z 15.05, ale teď tam mám originál FW protože na 15.05 jsou zmršené wifi ovladače.

5.1.2016 21:33 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

tak jako hostname v tom systém configu mám jen router a přesto mi to funguje jen s tou doménou

jinak jsem zjistil proč mi nešel ten překlad smtp serveru - v logu jsem v záplavě info hlášek zahlédl jednu warn s chybou possible DNS-rebind attack detected s odkazem na ten smtp server, takže jsem v konfiguraci vypnul "Rebind protection" a už to funguje

5.1.2016 21:58 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

A nefunguje mi ani reverzní překlad IP adres v lokální síti providera a to jsem zkusil zrušit volbu "Filter private" s vysvětlivkou "Do not forward reverse lookups for local networks" - jen se mi nepodařilo v manuálu zjisti, které nastavení v configu to je

5.1.2016 23:44 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Fakt to je takovej problém?

Kouknu do konfiguráku, v www změním nechám uložit a kouknu do konfiguráku.....

6.1.2016 16:10 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Tak dneska byl nějak lepší den, takže tato volba option boguspriv '1' zakazovala překlad neveřejných adres a včera nejspíš byly nakešovaný i ty negativní odpovědi, takže dnes po novém spuštění PC mi už chodí i ty reverzní záznamy.

Takže jediné co mě teď asi nejvíc chybí ke spokojenosti je to použití IP sets.

6.1.2016 19:13 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

ipset: odlehčete přetíženým iptables

A kde je problém?

Jak ti psal erotel tak to v OpenWRT funguje.

Ale při 20 pravidlech bych se na ipset vykašlal.

6.1.2016 20:25 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

No stačí se podívat na odkaz v mém prvním příspěvku, kde jsou popisovaný konfigurační možnosti a třeba už v definované sadě u match se má zadat i směr, zatímco pomocí příkazů ipset se definuje jen sada ip adres a směr až v iptables.

Pak mi není jasné (nikde jsem to tam nenašel) jak se v rule https://wiki.openwrt.org/doc/uci/firewall#rules pak odkázat na definovanou ip sadu.

6.1.2016 20:47 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Příklad máte hned v prvním komentáři této diskuse.

6.1.2016 21:16 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Ale u toho OpenWRT je vlastní konfigurační soubor a není mi jasné, jak tu ip sadu použít v tomto konfiguračním souboru, kde jsou i ostatní pravidla firewallu

6.1.2016 22:04 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Nijak prostě napsat vlastní sadu příkazů kterou vložíš do /etc/firewall.user .

6.1.2016 22:19 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Našel jsem toto:

config rule
        option name 'Drop v6 traffic'
        option src 'wan6'
        option dest 'lan'
        option ipset 'badgeo6'
        option proto 'all'
        option family 'ipv6'
        option target 'DROP'

config rule
        option name 'Drop v6 traffic'
        option src 'lan'
        option dest 'wan6'
        option ipset 'badgeo6_dest'
        option proto 'all'
        option family 'ipv6'
        option target 'DROP'

config ipset
        option external 'badgeo6'
        option storage 'hash'
        option match 'src_net'

config ipset
        option name 'badgeo6_dest'
        option external 'badgeo6'
        option storage 'hash'
        option match 'dest_net'

Ještě tam chybí naplnění tabulek a pod....a nevím zda je to funkční, fakt nejednoduší bude se na ipset vykašlat a nebo si napsat vlastní skript a ten po startu firewallu spustit.

7.1.2016 08:28 erotel
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

já to dělal přes Luci

Network -> Firewall -> Custom Rules

a tam jsem zadal



#vytvoření hash tabulky

ipset -N povol iphash --hashsize 10000 --probes 8 --resize 50

#zadaní ip tables na forward podle source adresy

iptables -A FORWARD -i br-lan -m set --match-set povol src -j ACCEPT

#naplnění hash tabulky

ipset -A povol 192.168.88.11

ipset -A povol 192.168.88.12

ipset -A povol 192.168.88.13

7.1.2016 16:55 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

Tak jsem vyřešil i ty IP sets. Funguje mi to následovně: přes terminál ručně založím sadu příkazem

ipset create test hash:ip

pak v terminálu přidávám ipadresy:

ipset add test 93.185.104.6
ipset add test 93.185.104.7
ipset add test 82.142.82.139

ty lze přidávat kdykoliv a není potřeba restart firevalu - ihned se přidané IP adresy v té sadě používají

v /etc/config/firewall mám následující definice (a díky tomu, že jsou zde uvedené, tak se dá ovlivnit pořadí pravidla s IP set, neboť považuji za vhodné, aby bylo až na konci, aby se snížila zátěž routeru - aby nejčastěji používaná pravidla se vyhodnotila dřív, než toto pravidlo s IP sadou):

config ipset
	option storage 'hash'
	option external 'test'
	option match 'dest_ip'

config rule
	option target 'ACCEPT'
	option src 'lan'
	option dest 'wan'
	option ipset 'test'
	option name 'imaps'
	option family 'ipv4'
	option proto 'tcp'
	option src_ip '172.21.163.80/30'
	option dest_port '993'

pravidlo je napsaný co "nejsložitěji" abych ověřil, že se vše použije - takže obsahuje omezení jen na určité IP adresy z LAN a pak je tam ještě omezení na cílový port, takže výsledkem je, že jen z určitých IP adres v LAN se lze dostat na v sadě vyjmenované poštovní servery zabezpečeným protokolem IMAP - to sice není důvod proč jsem se snažil IP sets dát dohromady, ale bylo to dobrý na otestování funkčnosti, díky tomu, že poštu stahuji z vícero serverů

No a aby se vytvořené sady "neztrácely" při restartu, tak jsem vytvořil službu, která zajišťuje zazálohování a zase obnovení sad při zapínání/vypínání. Konfigurace IP sets je uložena v /etc/ipset-rules

Takže v /etc/init.d je soubor ipsets

#!/bin/sh /etc/rc.common

START=15
STOP=95

start() {        
        echo "Restoring saved ipset rules"
        touch /etc/ipset-rules
        ipset restore < /etc/ipset-rules
}                 
 
stop() {          
        save
        echo "Flushing and destroying"
        ipset flush
        ipset destroy
}

shutdown() {
        save
}

save() {
        echo "Saving current ipset rules"
        ipset save > /etc/ipset-rules
}

pak jsem v konzoli vytvořil symlinky do /etc/rc.d/

ln -s /etc/init.d/ipsets /etc/rc.d/S15ipset
ln -s /etc/init.d/ipsets /etc/rc.d/K95ipset

A je to

7.1.2016 17:35 Mirek8 | Kladno
Rozbalit Rozbalit vše Re: OpenWrt nastavení IP Sets a DNS záznamu

A ještě jsem zapomněl na jednu "drobnost" - bylo potřeba stáhnout a nainstalovat balík ipset - což jsem udělal přes LUCI - "Systém" - "Software" - "Update list" a pak do "Download and install package:" zadat : ipsec a kliknout na "OK".

Založit nové vlákno • Nahoru

Tiskni Sdílej: