BIND DNSBL Problem

[NilsS]

Moin,

ich bekomme irgendwie die Blacklist nicht ans laufen.
Ich weiß aber auch nicht wo ich den Fehler weiter suchen soll

Code Select Expand


root@sense:~ # cat /usr/local/etc/namedb/dnsbl.inc | grep zyiis.net
*.zyiis.net CNAME .
zyiis.net CNAME .
root@sense:~ # sockstat -4 -l | grep named
bind     named      58031 22 tcp4   127.0.0.1:53530       *:*
bind     named      58031 23 tcp4   127.0.0.1:9530        *:*
bind     named      58031 513 udp4  127.0.0.1:53530       *:*


Code Select Expand

root@sense:~ # drill -p 53530 zyiis.com @127.0.0.1
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 18212
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; zyiis.com.   IN      A

;; ANSWER SECTION:
zyiis.com.      184     IN      A       121.199.15.128

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 127.0.0.1
;; WHEN: Wed Sep  5 11:59:20 2018
;; MSG SIZE  rcvd: 43


Code Select Expand

root@sense:~ # tail -n 1 /var/log/named/query.log
05-Sep-2018 11:59:20.204 client @0x2f8f8f57000 127.0.0.1#50510 (zyiis.com): query: zyiis.com IN A + (127.0.0.1)


Das sollte doch sicher irgendwie anders aussehen.
Als Forwarder habe ich 127.0.0.1 unbound drin.

Warum nimmt er die Blacklist nicht?

Code Select Expand


05-Sep-2018 11:04:57.102 zoneload: info: managed-keys-zone: loaded serial 0
05-Sep-2018 11:04:57.109 zoneload: info: zone 127.in-addr.arpa/IN: loaded serial 42
05-Sep-2018 11:04:57.111 zoneload: info: zone whitelist.localdomain/IN: loaded serial 2018072201
05-Sep-2018 11:04:57.112 zoneload: info: zone 0.ip6.arpa/IN: loaded serial 42
05-Sep-2018 11:04:57.296 zoneload: info: zone localhost/IN: loaded serial 42
05-Sep-2018 11:04:57.483 zoneload: info: zone blacklist.localdomain/IN: loaded serial 2018072201
05-Sep-2018 11:04:57.483 general: notice: all zones loaded
05-Sep-2018 11:04:57.485 general: notice: running
05-Sep-2018 11:04:57.485 general: info: rpz: whitelist.localdomain: reload start
05-Sep-2018 11:04:57.485 general: info: rpz: whitelist.localdomain: using hashtable size 2
05-Sep-2018 11:04:57.485 general: info: rpz: blacklist.localdomain: reload start
05-Sep-2018 11:04:57.486 general: info: rpz: blacklist.localdomain: using hashtable size 14
05-Sep-2018 11:04:57.486 general: info: rpz: whitelist.localdomain: reload done
05-Sep-2018 11:04:57.640 general: info: rpz: blacklist.localdomain: reload done
05-Sep-2018 11:05:00.724 resolver: info: resolver priming query complete
05-Sep-2018 11:52:24.156 resolver: info: resolver priming query complete
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:500:9f::42#53
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:503:c27::2:30#53
05-Sep-2018 11:52:25.357 lame-servers: info: host unreachable resolving 'zyiis.com/A/IN': 2001:503:ba3e::2:30#53



EDIT: oja und ein (Bug) ist mir noch aufgefallen, in der WebuUI bei ACL sollte LOCALNETS verhindert werden, da es wohl schon intern verwendet wird und falls man das da auch einträgt startet named nicht.

[mimugmail]

Danke für den Hinweis, da hat sich das Format der Listen geändert und jetzt läd er das nicht mehr. Ärgerlich .. ich versuch das gleich zu patchen.

[mimugmail]

opnsense-patch -c plugins 0b38ca8


Dann gehts wieder ... sorry.

[NilsS]

Hi Michael,

danke fürs schnelle patchen.
Ich bin zwar auf stable und daher hat der patch gefailed, aber wenn ich die Datei manuell mit der aus dem git tausche klappt es.

Würde es sich nicht anbieten das Script in Python zu schreiben um vollen Regex nutzen zu können?
Ein

Code Select Expand

grep -Po "^127.0.0.1\t\K(.*?)(?=[\r\n]+)" emd.txt würde auch funktionieren aber

grep: The -P option is not supported

Wenn Interesse besteht und du mir sagst ob das überhaupt gewollt ist, würd ich dir das sonst auch in python bauen, sodaß immer nur Domainnamen aus egal welchem script geregext werden deren Zeilen nicht mit # starten.
Das wäre evtl. weniger anfällig auf Änderungen der Struktur der eingehenden Dateien.

[mimugmail]

Ach shit, das ist ja ein patch für 1.1, stimmt!

Ich würde es erst mal bei sh belassen. Ich kann selbst kein Python und will nicht auf andere angewiesen sein wenn was ist :)

[t00r]

Hallo und Guten Morgen,

habe gestern Nachmittag erstmal BIND mit DNSBL konfiguriert und hatte mich schon gewundert, warum der nix blockt... :)

@mimugmail: Schreibst Du hier kurz rein, wenn das gefixt ist oder wie läuft das hier (bin neu bei OPNsense)?

[NilsS]

Moin und Willkommen,

hat er doch schon geschrieben.

opnsense-patch -c plugins 0b38ca8

das führst du einfach in der Konsole (oder ssh) aus.
Dann ist es wie in der nächsten Version die rauskommt.

Brauchst dann nichts mehr zu machen.

[t00r]

Moin und Willkommen,

hat er doch schon geschrieben.

opnsense-patch -c plugins 0b38ca8

das führst du einfach in der Konsole (oder ssh) aus.
Dann ist es wie in der nächsten Version die rauskommt.

Brauchst dann nichts mehr zu machen.

Habe ich gemacht (den Patch ausgeführt, hat auch ohne Fehler beendet).

Aber der Fehlerzustand besteht leider weiterhin:

Code Select Expand

root@fw:~ # cat /usr/local/etc/namedb/dnsbl.inc | grep zyiis.net
*.zyiis.net CNAME .
zyiis.net CNAME .
root@fw:~ # sockstat -4 -l | grep named
bind     named      91187 22 tcp4   127.0.0.1:53530       *:*
bind     named      91187 23 tcp4   127.0.0.1:9530        *:*
bind     named      91187 515 udp4  127.0.0.1:53530       *:*
bind     named      91187 516 udp4  127.0.0.1:53530       *:*
bind     named      91187 517 udp4  127.0.0.1:53530       *:*
root@fw:~ # drill -p 53530 zyiis.com
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 44251
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; zyiis.com.   IN      A

;; ANSWER SECTION:
zyiis.com.      599     IN      A       121.199.15.128

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 443 msec
;; SERVER: 127.0.0.1
;; WHEN: Sun Sep  9 11:21:19 2018
;; MSG SIZE  rcvd: 43
root@fw:~ # tail /var/log/named/query.log | grep zyiis.com
09-Sep-2018 11:21:19.791 client @0x398314bf000 127.0.0.1#32131 (zyiis.com): query: zyiis.com IN A + (127.0.0.1)
root@fw:~ #



[NilsS]

und ich dachte es hätte keiner gesehen. :-[


zyiis.com ist auch nicht drin ... teste mal zyiis.net

Ist also kein Fehler sonder nur ein Vertipper

[t00r]

und ich dachte es hätte keiner gesehen. :-[


zyiis.com ist auch nicht drin ... teste mal zyiis.net

Ist also kein Fehler sonder nur ein Vertipper

Okay, habe ich jetzt auf Deinen Hinweis hin auch gesehen! ;)
Aber funktioniert leider trotzdem nicht.
Habe hierzu eine ganz andere Domain genommen:

Code Select Expand

root@fw:~ #
root@fw:~ #
root@fw:~ # sockstat -4 -l | grep named
bind     named      51417 22 tcp4   127.0.0.1:53530       *:*
bind     named      51417 23 tcp4   127.0.0.1:9530        *:*
bind     named      51417 515 udp4  127.0.0.1:53530       *:*
bind     named      51417 516 udp4  127.0.0.1:53530       *:*
bind     named      51417 517 udp4  127.0.0.1:53530       *:*
root@fw:~ #
root@fw:~ #
root@fw:~ # cat /usr/local/etc/namedb/dnsbl.inc | grep zzztube.com
*.zzztube.com CNAME .
zzztube.com CNAME .
root@fw:~ #
root@fw:~ #
root@fw:~ # drill -p 53530 zzztube.com @127.0.0.1
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 43863
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; zzztube.com. IN      A

;; ANSWER SECTION:
zzztube.com.    33      IN      A       78.140.182.43

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 127.0.0.1
;; WHEN: Sun Sep  9 13:11:13 2018
;; MSG SIZE  rcvd: 45
root@fw:~ #
root@fw:~ #
root@fw:~ # tail /var/log/named/query.log | grep zzztube.com
09-Sep-2018 13:06:46.182 client @0x4df0066a000 127.0.0.1#62684 (zzztube.com): query: zzztube.com IN A + (127.0.0.1)
09-Sep-2018 13:10:56.107 client @0x4df01468000 127.0.0.1#6464 (zzztube.com): query: zzztube.com IN A + (127.0.0.1)
09-Sep-2018 13:11:13.259 client @0x4df01468000 127.0.0.1#61457 (zzztube.com): query: zzztube.com IN A + (127.0.0.1)
root@fw:~ #
root@fw:~ #
root@fw:~ #


[mimugmail]

tail -200 /var/log/named/named.log

[t00r]

tail -200 /var/log/named/named.log

Ergibt bei mir:

Code Select Expand

root@fw:~ # tail -200 /var/log/named/named.log

[...musste kuerzen, da mehr als 2000 Zeichen]

09-Sep-2018 15:10:02.246 lame-servers: info: host unreachable resolving './NS/IN': 2001:7fd::1#53
09-Sep-2018 15:10:02.991 resolver: info: resolver priming query complete
09-Sep-2018 15:18:13.292 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:a83e::2:30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:231d::2:30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:500:856e::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:d414::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:500:d937::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:d2d::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:502:1ca1::30#53
09-Sep-2018 15:18:13.293 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:83eb::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:502:8cc::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:eea3::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:503:39c1::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:501:b1f9::30#53
09-Sep-2018 15:18:13.294 lame-servers: info: host unreachable resolving 'api-mifit.huami.com/A/IN': 2001:502:7094::30#53
09-Sep-2018 15:19:41.221 lame-servers: info: host unreachable resolving './NS/IN': 2001:dc3::35#53
09-Sep-2018 15:19:41.221 lame-servers: info: host unreachable resolving './NS/IN': 2001:503:ba3e::2:30#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:1::53#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:503:c27::2:30#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:2d::d#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:9f::42#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:2f::f#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:200::b#53
09-Sep-2018 15:19:41.222 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:2::c#53
09-Sep-2018 15:19:41.223 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:a8::e#53
09-Sep-2018 15:19:41.223 lame-servers: info: host unreachable resolving './NS/IN': 2001:7fe::53#53
09-Sep-2018 15:19:41.223 lame-servers: info: host unreachable resolving './NS/IN': 2001:500:12::d0d#53
09-Sep-2018 15:19:41.223 lame-servers: info: host unreachable resolving './NS/IN': 2001:7fd::1#53
09-Sep-2018 15:19:50.033 resolver: info: resolver priming query complete
root@fw:~ #



[mimugmail]

Da hat sich wohl der Fehlerteufel eingeschlichen ... hast du das bei dir auch im Log:

09-Sep-2018 17:21:53.082 general: error: dns_master_load: /usr/local/etc/namedb/dnsbl.inc:148: empty label
09-Sep-2018 17:21:53.082 zoneload: error: zone blacklist.localdomain/IN: loading from master file /usr/local/etc/namedb/master/blacklist.db failed: empty label
09-Sep-2018 17:21:53.082 zoneload: error: zone blacklist.localdomain/IN: not loaded due to errors.

[NilsS]

Genau den Fehler hatte ich vorher auch im Log.

[mimugmail]

Das is nur n Syntaxfehler. Hab den Fehler schon gefunden, ich reich den patch morgen ein.