Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 21 Antworten in diesem Thema, welches 3.108 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.
Hallo
Eine Frage wenn ich auf meiner Synology einen Pihole am laufen habe, und den dann für die VLANs als DNS eintragen will, brauche ich aber doch die Freigabe für den Port 53. Habe dazu eine Portgruppe erstellt. Kann ich die Firewallregeln dann so einsetzen und muss die dann bei "LAN IN" oder bei LAN LOKAL" geschrieben werden?
Oder muss ich dann diese Freigabe für jedes VLAN einzeln machen?
Danke.
mfg
Moin,
das kommt auf deine Regeln an.
Hast du keine Regeln musst du nichts machen.
Sind die VLANs aber über eine Drop-Regel getrennt, musst du pihole dafür per Regel bei "LAN in" freigeben.
Ich schrieb schon, dass es in Lan In gehört.
Du solltest alle DNS Port nehmen die genutzt werden könnten und ja du kannst es als RFC1918 machen, so nutze ich es auch.
Bei der Firewallregel solltest Du evtl. das Ziel noch auf die IP des Pihole eingrenzen. Momentan könnten wieder alle Geräte über die DNS Ports miteinander kommunizieren. Es geht also mehr als nötig und vermutlich gewünscht.
Ich schrieb schon, dass es in Lan In gehört.
Du solltest alle DNS Port nehmen die genutzt werden könnten und ja du kannst es als RFC1918 machen, so nutze ich es auch.
Welche denn da noch. Ich dachte der Port 53 muss nur durch die Netze sprechen können und das das DNS von dem Pihole genutzt wird trage ich doch woanders ein oder nicht?
Also meinst du das dann so...
Alles anzeigenWelche denn da noch. Ich dachte der Port 53 muss nur durch die Netze sprechen können und das das DNS von dem Pihole genutzt wird trage ich doch woanders ein oder nicht?
Also meinst du das dann so...
Der Grund ist das sonst jeder sich einfach irgend einen DNS eintragen kann und den nutzen kann. So geht DNS nur zum Pihole.
Bei Ziel die IP des Piholes und dort auch den Port 53 angeben. Bei Quelle keinen Port angeben. Das Paket wird vermutlich nicht über Port 53 vom Gerät versendet, welches eine DNS Anfrage stellt. So wie Du die Regel im Screenshot hast würden alle Geräte von Port 53 mit dem Pihole auf irgendeinem Port kommunizieren. Das wird sehr wahrscheinlich dazu führen, dass keine DNS Anfrage beim Pihole ankommt.
Und nochmal: Du musst eine solche Regel nur erstellen, wenn Du die Firewall so konfiguriert hast, dass eine Kommunikation zwischen den VLANs verboten ist. Im Standard darf jeder mit jedem sprechen; da braucht es so eine Regel gar nicht.
Im Standard darf jeder mit jedem sprechen; da braucht es so eine Regel gar nicht.
.... und auch keine Vlans 
Das Paket wird vermutlich nicht über Port 53 vom Gerät versendet, welches eine DNS Anfrage stellt
Eigentlich laufen alle DNS-Anfragen schon über UDP/TCP 53. An sonst ist´s schon Recht - eine rekursive DNAT-Regel aus jedem Vlan für Port 53 zum Pihole sollte es richten.
Welche denn da noch. Ich dachte der Port 53 muss nur durch die Netze sprechen können und das das DNS von dem Pihole genutzt wird trage ich doch woanders ein oder nicht?
So sind meine Einstellungen. Bei mir machen aber RPI wo pihole drauf läuft auch noch NTP.
Eigentlich laufen alle DNS-Anfragen schon über UDP/TCP 53. An sonst ist´s schon Recht - eine rekursive DNAT-Regel aus jedem Vlan für Port 53 zum Pihole sollte es richten.
Der DNS Server läuft auf port 53. Somit ist der Zielport 53 bei Client Anfragen an den DNS. Der Quellport dieser Anfrage vom Client ist aber dynamisch. Darauf wollte ich hinaus, denn in der Firewall Regel ist als Quellport die 53 angegeben gewesen. Das ist ja die Regel von den Clients Richtung Server.
Auf mehr wollte ich nicht hinaus. Natürlich wäre dann auch noch eine Regel nötig für die Antwortpakete wenn die VLANs komplett getrennt sind.
Natürlich wäre dann auch noch eine Regel nötig für die Antwortpakete wenn die VLANs komplett getrennt sind.
Warum? Die Antwort nutzt doch den Rückweg der Anfrage.
razor as hatte ich verstanden, und ich habe aber so eine Regel.
Wie schon erwähnt habe ich ja den Pihole. Den habe ich im Docker der Synology am laufen und will dann noch einen Unbound Server installieren.
So wie Idomix das erklärt habe ich beide schon auf der Synology installiert.
Da hatt er Installation von Pi-Hole und Unbound in zwei Docker Images durch geführt. Den Pihole habe ich schon am laufen und wollte das ganze testen. Hate da mal bei einem PC in den Netzwerkeinstellungen den DNS Server auf den Pihole geändert und dann lief es auch schon mal. Aber ich wollte das ganze dan ja auch Netzwerk weit aus dehnen und nutzen. Daher habe ich noch in Erinnerung das ich hier den DNS Server auf den Pihole stellen muss in den Einstellungen der Netze.
Und hatte dann hier irgendwo im Forum gelesen das ich dann nur noch den Port 53 durch die VLANS sprechen lassen müsste. Dann wäre alles super.
Also mus sich dann doch mehr tun und Ports freigeben und so weiter.
Deswegen bin ich ein wenig verwirrt.
Zur Frage wegen dem Port 53, den kann ich ja nicht eingeben wenn ich als Ziel nur den Pihole DNS Server IP eintrage. Das würde dann ja nur gehen wenn ich den in eine Gruppe packen würde.
mfg
Somit ist der Zielport 53 bei Client Anfragen an den DNS. Der Quellport dieser Anfrage vom Client ist aber dynamisch.
Das siehst du jetzt zu dynamisch 
Denn dann müsste der Pihole ja Roulette spielen und weiß dann immer noch nicht, wie er auf eine Anfrage antworten soll. Also eigentlich sind die Ports in die Ethernetframes über das transportierte Protokoll codiert, statt wie hier Hex 00 50 (für Dec 80 - TCP):
würde dann für DNS Port 53 Hex 00 35 stehen. Und daran orientiert sich auch der Pihole.
Zur Frage wegen dem Port 53, den kann ich ja nicht eingeben wenn ich als Ziel nur den Pihole DNS Server IP eintrage. Das würde dann ja nur gehen wenn ich den in eine Gruppe packen würde.
Spricht denn da was gegen?
Warum? Die Antwort nutzt doch den Rückweg der Anfrage.
Weil die Firewall die Pakete vom Pihole zum DNS Client Droped ... sie Netze sind getrennt und in der Firewall gibts die Regel RFC Netz zu RFC Netz droppen. Es muss noch eine Regel für Releated/Established Acceppt von Pihole in alle Netze rein.
Das siehst du jetzt zu dynamisch
würde dann für DNS Port 53 Hex 00 35 stehen. Und daran orientiert sich auch der Pihole.
Nöö der PiHole muss kein Roulette spielen wenn er denn ein Paket erhält, da er ja im Paket wie Du schön ausgeführt hast, erkennen kann wohin die Antwort gehen soll/ Wo sie angeblich herkommt. Diese Information wäre übrigens überflüssig wenn der Quellport nicht dynamisch wäre
Es ging aber um die Firewallregel. Ich kann nicht beim Quellport die 53 angeben. Der Client wird immer wenn er eine neue Session aufmacht, einen freien Port dynamisch auswählen der dann als Quellport dient. Ob das dann überhaupt jemals die 53 sein kann oder sowieso nur größer 1024, hängt vermutlich von der Implementierung des IP Stacks des Systems ab. Das würde also bedeuten, dass das Paket vom Client nur dann ankommt wenn Quellport und Zielport 53 wäre ... unwahrscheinlich.
Weil die Firewall die Pakete vom Pihole zum DNS Client Droped ... sie Netze sind getrennt und in der Firewall gibts die Regel RFC Netz zu RFC Netz droppen. Es muss noch eine Regel für Releated/Established Acceppt von Pihole in alle Netze rein.
Das stimmt nicht und ist not wendig.
Was denn nun? Stimmts nicht oder ist es notwendig?
Ich rede von meiner Konfigurationsvariante, Du von Deiner. Sind evtl. nicht gleich restriktiv. Bei dem durcheinander lernt der TE vermutlich nicht viel und wird eher verwirrt. Forum halt
zur Zeit sind 99 Mitglieder (davon 1 unsichtbar) und 281 Gäste online - Rekord: 129 Benutzer ()
