Hallo Zusammen,
ich habe unbound nach dieser Anleitung http://www.raspberry-pi-geek.de/Magazin/2017/06/Unbound-als-zentraler-DNS-Server-und-Adblocker (http://www.raspberry-pi-geek.de/Magazin/2017/06/Unbound-als-zentraler-DNS-Server-und-Adblocker) eingerichtet und die Liste mit den Adservern an die entsprechende Stelle kopiert.
Die Liste wird bei einem Restart von unbound auch geladen (sehe ich, wenn ich einen Fehler einbaue in der log-Datei), DNS-Einträge für VPN sind ok, DNS-Eintrag fürs Ethernet ist leer, ich sehe die DNS-Anforderungen in den Livelogs der Firewall und wenn ich das VPN trenne werden keine Webseiten erreicht. Das zeigt mir, dass alle DNS-Anfragen übers VPN geroutet werden.
Wenn ich jetzt z.B. die Seite bild.de aufrufe, finde ich dort Werbeanzeigen von smartadserver.com, obwohl dieser Server in der Liste der Adserver steht.
Hat jemand eine Idee, woran das liegen kann?
Moin,
es gibt schon ein fertiges Plugin für die OPNsense und DNS Blockling.
https://www.routerperformance.net/opnsense/dnsbl-via-bind-plugin/
Gruß
Dirk
Der dnscrypt-proxy kann es mit der nächsten Version auch ...
DNS Blocking ineressiert mich auch. Hilft das auch gegen DNS Spoofing, in dem Sinne das die IP geblockt wird und nicht der Name? Oder stehen in den Listen nur die Namen?
Gibt es da Vorteile bzw. Nachteile wenn ich auch in der Firewall schon eine Blockliste habe, und IPS ist auch aktiv.
IP über Firewall, Domain über DNS
Quote from: mimugmail on March 05, 2019, 06:06:48 PM
IP über Firewall, Domain über DNS
Ja aber ich rufe doch alles über die IP auf, d.h. alles geht über die IP durch die Firewall.
Oder erhalte ich andere IPs über DNS die nicht in den Blacklisten sind, die ich schon über die Firewall blocke, dann verstehe ich das. Aber anonsten mache ich doch eine Anfrage z.b. domainxy.xy an den DNS Server, der liefert mir die IP, und dann erst erfolgt der Aufruf, der dann durch die Firewall geblockt wird, oder auch nicht.
Oder habe ich da was nicht verstanden?
Korrekt, aber eher unüblich.
Quote from: mimugmail on March 07, 2019, 07:16:32 AM
Korrekt, aber eher unüblich.
Leider kann ich aus der Antwort nicht genau verstehen, was du mit eher unüblich meinst :)
Wenn du eine Liste von 50000 Domains in die Firewall lädst, muss diese erst mal diese 50000 Namen auf IPs auflösen .. und auch noch immer aktualisieren. Das macht von der Performance her keinen Sinn, also Domains über DNSBL, IPs über Firewall :)
Ach so meinst du das, ok. Auf der Beschreibung auf sehe ich jetzt keine Quelle für die Listen, sondern nur Types. Habe es jetzt nur auf dem Bild gesehen.
QuoteNow go to tab ,,DNSBL" and set the lists you like. After hitting ,,Save" it could take some time for downloading.
Welche Listen kann man da kostenlos nutzen, und wo tragt man die Quellen ein?
Bei Bind? Das ist ne vordefinierte Liste zum Auswählen, alles frei
danke habe es eingestellt und getestet.
Quote from: mimugmail on March 05, 2019, 10:56:14 AM
Der dnscrypt-proxy kann es mit der nächsten Version auch ...
Um DNSBL via DNS over TLS zu nutzen ist jetzt nur noch das DNSCrypt-Proxy Plugin notwendig oder auch noch BIND? Und wie verhält es sich mit dem normalen Web-Proxy Plugin - dies ist ja praktisch unbetroffen davon korrekt?
Alles noch etwas verwirrend bei sovielen BIND und Proxysachen :D
Bind kann weg wenn du dnscrypt Proxy nimmst :)
Wenn die Firewall selbst dnscrypt Proxy als dns verwendet geht das auch mit dem Web Proxy
Danke für die schnelle Antwort :)
Na dann schau ich mal, wie ich die Firewall so hinbiege, dass sie DNSCrypt als Proxy verwendet;)
Für Dnscrypt-proxy ne zweite LAN IP konfigurieren, dnscrypt mit Port 53 drauf hören lassen und diese IP als DNS in System : Settings : General
Die 2. LAN-IP muss dann aber nicht im gleichen Subnet wie mein "eigentliches LAN" liegen?
Warum Port 53 und nicht 5353 wie standardmäßig unter ListenAdress?
Doch, wäre nicht verkehrt. Z.b 192.168.0.1 und 0.254. Die Settings in General erlauben keinen Port, daher geht 5353 nicht
Ha, klingt logisch - nur klingt das mit der 2. LAN IP trivial aber ist es vermutlich gar nicht wirklich ooder?
Firewall - Virtual IP - Add - IP Alias, Interface LAN, zweite IP und korrektes Subnet, das wars.