OPNsense Forum
International Forums => German - Deutsch => Topic started by: NilsS on September 05, 2018, 12:02:29 pm
-
Moin,
ich bekomme irgendwie die Blacklist nicht ans laufen.
Ich weiß aber auch nicht wo ich den Fehler weiter suchen soll
root@sense:~ # cat /usr/local/etc/namedb/dnsbl.inc | grep zyiis.net
*.zyiis.net CNAME .
zyiis.net CNAME .
root@sense:~ # sockstat -4 -l | grep named
bind named 58031 22 tcp4 127.0.0.1:53530 *:*
bind named 58031 23 tcp4 127.0.0.1:9530 *:*
bind named 58031 513 udp4 127.0.0.1:53530 *:*
root@sense:~ # drill -p 53530 zyiis.com @127.0.0.1
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 18212
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; zyiis.com. IN A
;; ANSWER SECTION:
zyiis.com. 184 IN A 121.199.15.128
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
;; Query time: 0 msec
;; SERVER: 127.0.0.1
;; WHEN: Wed Sep 5 11:59:20 2018
;; MSG SIZE rcvd: 43
root@sense:~ # tail -n 1 /var/log/named/query.log
05-Sep-2018 11:59:20.204 client @0x2f8f8f57000 127.0.0.1#50510 (zyiis.com): query: zyiis.com IN A + (127.0.0.1)
Das sollte doch sicher irgendwie anders aussehen.
Als Forwarder habe ich 127.0.0.1 unbound drin.
Warum nimmt er die Blacklist nicht?
05-Sep-2018 11:04:57.102 zoneload: info: managed-keys-zone: loaded serial 0
05-Sep-2018 11:04:57.109 zoneload: info: zone 127.in-addr.arpa/IN: loaded serial 42
05-Sep-2018 11:04:57.111 zoneload: info: zone whitelist.localdomain/IN: loaded serial 2018072201
05-Sep-2018 11:04:57.112 zoneload: info: zone 0.ip6.arpa/IN: loaded serial 42
05-Sep-2018 11:04:57.296 zoneload: info: zone localhost/IN: loaded serial 42
05-Sep-2018 11:04:57.483 zoneload: info: zone blacklist.localdomain/IN: loaded serial 2018072201
05-Sep-2018 11:04:57.483 general: notice: all zones loaded
05-Sep-2018 11:04:57.485 general: notice: running
05-Sep-2018 11:04:57.485 general: info: rpz: whitelist.localdomain: reload start
05-Sep-2018 11:04:57.485 general: info: rpz: whitelist.localdomain: using hashtable size 2
05-Sep-2018 11:04:57.485 general: info: rpz: blacklist.localdomain: reload start
05-Sep-2018 11:04:57.486 general: info: rpz: blacklist.localdomain: using hashtable size 14
05-Sep-2018 11:04:57.486 general: info: rpz: whitelist.localdomain: reload done
05-Sep-2018 11:04:57.640 general: info: rpz: blacklist.localdomain: reload done
05-Sep-2018 11:05:00.724 resolver: info: resolver priming query complete
05-Sep-2018 11:52:24.156 resolver: info: resolver priming query complete
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:500:9f::42#53
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:503:c27::2:30#53
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:503:ba3e::2:30#53
EDIT: oja und ein (Bug) ist mir noch aufgefallen, in der WebuUI bei ACL sollte LOCALNETS verhindert werden, da es wohl schon intern verwendet wird und falls man das da auch einträgt startet named nicht.
-
Danke für den Hinweis, da hat sich das Format der Listen geändert und jetzt läd er das nicht mehr. Ärgerlich .. ich versuch das gleich zu patchen.
-
opnsense-patch -c plugins 0b38ca8
Dann gehts wieder ... sorry.
-
Hi Michael,
danke fürs schnelle patchen.
Ich bin zwar auf stable und daher hat der patch gefailed, aber wenn ich die Datei manuell mit der aus dem git tausche klappt es.
Würde es sich nicht anbieten das Script in Python zu schreiben um vollen Regex nutzen zu können?
Ein grep -Po "^127.0.0.1\t\K(.*?)(?=[\r\n]+)" emd.txt würde auch funktionieren aber
grep: The -P option is not supported
Wenn Interesse besteht und du mir sagst ob das überhaupt gewollt ist, würd ich dir das sonst auch in python bauen, sodaß immer nur Domainnamen aus egal welchem script geregext werden deren Zeilen nicht mit # starten.
Das wäre evtl. weniger anfällig auf Änderungen der Struktur der eingehenden Dateien.
-
Ach shit, das ist ja ein patch für 1.1, stimmt!
Ich würde es erst mal bei sh belassen. Ich kann selbst kein Python und will nicht auf andere angewiesen sein wenn was ist :)
-
Hallo und Guten Morgen,
habe gestern Nachmittag erstmal BIND mit DNSBL konfiguriert und hatte mich schon gewundert, warum der nix blockt... :)
@mimugmail: Schreibst Du hier kurz rein, wenn das gefixt ist oder wie läuft das hier (bin neu bei OPNsense)?
-
Moin und Willkommen,
hat er doch schon geschrieben.
opnsense-patch -c plugins 0b38ca8
das führst du einfach in der Konsole (oder ssh) aus.
Dann ist es wie in der nächsten Version die rauskommt.
Brauchst dann nichts mehr zu machen.
-
Moin und Willkommen,
hat er doch schon geschrieben.
opnsense-patch -c plugins 0b38ca8
das führst du einfach in der Konsole (oder ssh) aus.
Dann ist es wie in der nächsten Version die rauskommt.
Brauchst dann nichts mehr zu machen.
Habe ich gemacht (den Patch ausgeführt, hat auch ohne Fehler beendet).
Aber der Fehlerzustand besteht leider weiterhin:
root@fw:~ # cat /usr/local/etc/namedb/dnsbl.inc | grep zyiis.net
*.zyiis.net CNAME .
zyiis.net CNAME .
root@fw:~ # sockstat -4 -l | grep named
bind named 91187 22 tcp4 127.0.0.1:53530 *:*
bind named 91187 23 tcp4 127.0.0.1:9530 *:*
bind named 91187 515 udp4 127.0.0.1:53530 *:*
bind named 91187 516 udp4 127.0.0.1:53530 *:*
bind named 91187 517 udp4 127.0.0.1:53530 *:*
root@fw:~ # drill -p 53530 zyiis.com
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 44251
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; zyiis.com. IN A
;; ANSWER SECTION:
zyiis.com. 599 IN A 121.199.15.128
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
;; Query time: 443 msec
;; SERVER: 127.0.0.1
;; WHEN: Sun Sep 9 11:21:19 2018
;; MSG SIZE rcvd: 43
root@fw:~ # tail /var/log/named/query.log | grep zyiis.com
09-Sep-2018 11:21:19.791 client @0x398314bf000 127.0.0.1#32131 (zyiis.com): query: zyiis.com IN A + (127.0.0.1)
root@fw:~ #
-
und ich dachte es hätte keiner gesehen. :-[
zyiis.com ist auch nicht drin ... teste mal zyiis.net
Ist also kein Fehler sonder nur ein Vertipper
-
und ich dachte es hätte keiner gesehen. :-[
zyiis.com ist auch nicht drin ... teste mal zyiis.net
Ist also kein Fehler sonder nur ein Vertipper
Okay, habe ich jetzt auf Deinen Hinweis hin auch gesehen! ;)
Aber funktioniert leider trotzdem nicht.
Habe hierzu eine ganz andere Domain genommen:
root@fw:~ #
root@fw:~ #
root@fw:~ # sockstat -4 -l | grep named
bind named 51417 22 tcp4 127.0.0.1:53530 *:*
bind named 51417 23 tcp4 127.0.0.1:9530 *:*
bind named 51417 515 udp4 127.0.0.1:53530 *:*
bind named 51417 516 udp4 127.0.0.1:53530 *:*
bind named 51417 517 udp4 127.0.0.1:53530 *:*
root@fw:~ #
root@fw:~ #
root@fw:~ # cat /usr/local/etc/namedb/dnsbl.inc | grep zzztube.com
*.zzztube.com CNAME .
zzztube.com CNAME .
root@fw:~ #
root@fw:~ #
root@fw:~ # drill -p 53530 zzztube.com @127.0.0.1
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 43863
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; zzztube.com. IN A
;; ANSWER SECTION:
zzztube.com. 33 IN A 78.140.182.43
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
;; Query time: 0 msec
;; SERVER: 127.0.0.1
;; WHEN: Sun Sep 9 13:11:13 2018
;; MSG SIZE rcvd: 45
root@fw:~ #
root@fw:~ #
root@fw:~ # tail /var/log/named/query.log | grep zzztube.com
09-Sep-2018 13:06:46.182 client @0x4df0066a000 127.0.0.1#62684 (zzztube.com): query: zzztube.com IN A + (127.0.0.1)
09-Sep-2018 13:10:56.107 client @0x4df01468000 127.0.0.1#6464 (zzztube.com): query: zzztube.com IN A + (127.0.0.1)
09-Sep-2018 13:11:13.259 client @0x4df01468000 127.0.0.1#61457 (zzztube.com): query: zzztube.com IN A + (127.0.0.1)
root@fw:~ #
root@fw:~ #
root@fw:~ #
-
tail -200 /var/log/named/named.log
-
tail -200 /var/log/named/named.log
Ergibt bei mir:
root@fw:~ # tail -200 /var/log/named/named.log
[...musste kuerzen, da mehr als 2000 Zeichen]
09-Sep-2018 15:10:02.246 lame-servers: info: host unreachable resolving './NS/IN': 2001:7fd::1#53
09-Sep-2018 15:10:02.991 resolver: info: resolver priming query complete
09-Sep-2018 15:18:13.292 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:a83e::2:30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:231d::2:30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:500:856e::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:d414::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:500:d937::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:d2d::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:502:1ca1::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:83eb::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:502:8cc::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:eea3::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:39c1::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:501:b1f9::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:502:7094::30#53
09-Sep-2018 15:19:41.221 lame-servers: info: host unreachable resolving './NS/IN': 2001:dc3::35#53
09-Sep-2018 15:19:41.221 lame-servers: info: host unreachable resolving './NS/IN': 2001:503:ba3e::2:30#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:1::53#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:503:c27::2:30#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:2d::d#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:9f::42#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:2f::f#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:200::b#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:2::c#53
09-Sep-2018 15:19:41.223 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:a8::e#53
09-Sep-2018 15:19:41.223 lame-servers: info: host unreachable resolving './NS/IN': 2001:7fe::53#53
09-Sep-2018 15:19:41.223 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:12::d0d#53
09-Sep-2018 15:19:41.223 lame-servers: info: host unreachable resolving './NS/IN': 2001:7fd::1#53
09-Sep-2018 15:19:50.033 resolver: info: resolver priming query complete
root@fw:~ #
-
Da hat sich wohl der Fehlerteufel eingeschlichen ... hast du das bei dir auch im Log:
09-Sep-2018 17:21:53.082 general: error: dns_master_load: /usr/local/etc/namedb/dnsbl.inc:148: empty label
09-Sep-2018 17:21:53.082 zoneload: error: zone blacklist.localdomain/IN: loading from master file /usr/local/etc/namedb/master/blacklist.db failed: empty label
09-Sep-2018 17:21:53.082 zoneload: error: zone blacklist.localdomain/IN: not loaded due to errors.
-
Genau den Fehler hatte ich vorher auch im Log.
-
Das is nur n Syntaxfehler. Hab den Fehler schon gefunden, ich reich den patch morgen ein.
-
Bis auf weiteres die Porn All Liste einfach nicht verwenden. Die ist wohl schon so gross dass nach dem Bugfix der Daemon dauernd crasht.
-
Bis auf weiteres die Porn All Liste einfach nicht verwenden. Die ist wohl schon so gross dass nach dem Bugfix der Daemon dauernd crasht.
Alles klar, ohne die Porn All DNSBL funktioniert das Ganze :-)
(habe aber vorher nochmals den Patch aufgerufen; auch der lief problemlos durch).
root@fw:~ # cat /usr/local/etc/namedb/dnsbl.inc | grep zzztube.com
*.zzztube.com CNAME .
zzztube.com CNAME .
root@fw:~ # drill -p 53530 zzztube.com @127.0.0.1
;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 46546
;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; QUESTION SECTION:
;; zzztube.com. IN A
;; ANSWER SECTION:
;; AUTHORITY SECTION:
;; ADDITIONAL SECTION:
blacklist.localdomain. 1 IN SOA opnsense.localdomain. hostmaster.opnsense.localdomain. 2018072201 28800 7200 864000 3600
;; Query time: 12 msec
;; SERVER: 127.0.0.1
;; WHEN: Fri Sep 14 16:14:18 2018
;; MSG SIZE rcvd: 106
root@fw:~ # tail /var/log/named/query.log | grep zzztube.com
14-Sep-2018 16:14:18.083 client @0x41b76ff1000 127.0.0.1#2852 (zzztube.com): query: zzztube.com IN A + (127.0.0.1)
root@fw:~ #
-
Mal eine andere Frage zum BIND DNSBL:
Gib es in den diversen BIND Logfiles keine Möglichkeit, die von der DNSBL geblockten DNS-Anfragen zu sehen?
Die Methode mittels
cat /usr/local/etc/namedb/dnsbl.inc | grep domain.com ist sehr umständlich...
-
/var/log/named/rpz.log
-
/var/log/named/rpz.log
Danke! :)