Hallo!
Am 2014-04-16 10:39, schrieb Gregor Glashüttner:
Hi,
Am 2014-04-16 00:12, schrieb [email protected]:
hab ich da was übersehen oder muss man das zeug von hand in
/var/etc/dnsmasq.conf konfiguriern?
Und wird dieses File dann jedesmal wenn man in der luci was ändert
wieder überschrieben?
"# auto-generated config file from /etc/config/dhcp"
ja, diese Datei wird beim Start neu generiert und damit überschrieben.
Wenn du aber eine Zeile weiter schaust siehst du dass die Datei
/etc/dnsmasq.conf inkludiert wird, dort kannst du deine IPv6 Sachen
ablegen bis die Unterstütztung durch uci gegeben ist.
Womit wir wieder bei stupiden
Autoconfig-ich-weiß-alles-besser-als-der-User-Scripts wären...
Wisst Ihr jetzt, warum ich der Bubbles den Rücken kehre?
Autoconfig, kein Sourcecode, seltsame Paketauswahl, fehlende (essentiell
wichtige Packages im Repository, ...
Ich sage nicht, dass OpenWRT/LuCI mit seinem netifd intelligenter ist,
eher das Gegenteil... Der massive Einsatz von lua+javascript
verschlimmert die Probleme, ebenso das Faktum, dass auf für die Busybox
an sich vorhandene Dienste und Binaries verzichtet wird: ip, httpd, ...
womit die Pakete auch auf kleineren Routern liefen... *seufz*.
Die Welt ist schlecht.
Zurück zum Problem:
Für Konsolenverweigerer:
1. Administration/System/Systemstart:
99 0xFF-Configger -> "Einschalten" anklicken [noch so eine
irrführende Bezeichnung... "eingeschaltet" müsste das heißen.] -> sohin
ist es ausgeschaltet.
99 DNSmasq-Protection -> "Einschalten" [!!! Vorsicht: DNSmasq ist
damit auf externen Interfaces aktiv - siehe "Recursor
<http://vixie.funkfeuer.at/>" !!!]
2. http://wiki.openwrt.org/doc/howto/ipv6.dns
Lösungswege für das Recursorproblem:
a) dnsmasq deinstallieren oder deaktivieren
(60 dnsmasq; Problem: er spielt auch dhcp)
b) dnsmasq selbst absichern:
Konsolenspielerei, da nicht alles in LuCi vorhanden ist:
option nonwildcard '1'
list interface 'lan'
[aber nur, wenn "lan" als internes Interface - d.h. ohne
öffentliche IPs genutzt wird]
nonwildcard in Uci-Diktion entspricht dem Parameter bind-interfaces
laut dnsmasq-Manual: Siehe /etc/init.d/dnsmasq:97
append_bool "$cfg" nonwildcard "--bind-interfaces"
In Zeile 111 und 112:
config_list_foreach "$cfg" "interface" append_interface
config_list_foreach "$cfg" "notinterface" append_notinterface
d.h. anstelle von "option" kommt in uci der Parameter "list", wenn
nötig mehrfach zum Einsatz.
Auch die "rebind-protection" einzuschalten - dafür gibt es ein
Hakerl - ist kein Fehler.
c) Firewall zum Absichern benützen:
Einfach über das Webinterface eine Regel einfügen, die eingehende
TCP+UDP-Pakete auf Port 53 auf der Zone 0xFF oder wie immer die jetzt
dort heißen
mag, blockt.
HTH, LG
Erich
P.S.: reload 0xFF-Bubbles
LG Gregor
--
Wien mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/wien
--
Wien mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/wien
