• Zarejestrowany: 2013-06-24
  • Posty: 100

Temat: lokalny DNS a różne interfejsy

Cześć,

Ostotnio zainstalowalem sobie na swojej "malince" pi-hole i ustawiałem cały swój ruch (DNS) z lana na nią. Chcialbym jednak przepuścic ruch dns-owy na nia z dwoch innych interfejsow:

- vpna gamingowego (12.8.0.1/24)
- sieci wifi dla gosci (192.168.10.1/24)

Obie te sieci maja swoje podsieci (jak wyżej). chciałbym cały ruch dns puszczać przez malinke ktora jest w sieci lan z ip 10.10.1.5.

Obok VPNa gamingowego, mam rowniez swoj "normalny" domowy z dostepem do swojej sieci (10.8.0.1/24). Istota tego gamingowego, jest granie po lan ze znajomymi (klienci widza sie na wzajem) ale rozdzielone jest po to aby nie mieli dostepu do moich lokalnych zasobow. Zauwazylem jednak, ze bedac podlaczonym do sieci gamingowej jest mozliwosc wejsca na router 10.10.1.1 i chcialbym to dodatkowo zablokowac w jakis sposob (pewnie za pomoca iptables). W sumie nei testowalem czy z sieci goscinnej jest taki sam problem, ale prawdopodobnie tez chchialbym to zabezpieczyc.

Jezeli podpiecie DNSa wymagalo by jakiegos bridga miedzy interfesjami, to chcialbym tez zabezpieczyc dostep przed innymi zasobami z sieci domowej LAN.

Jakieś rady jak to ogarnąć?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,846

Odp: lokalny DNS a różne interfejsy

iptables -I INPUT -s 12.8.0.1/24 -j DROP ?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez eerozeteen

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Odp: lokalny DNS a różne interfejsy

dzięki, widzę że wycięcie routera udało się.

Teraz pytanko, jak mogę skierować ruch odseparowanego vpna i sieci gościnnej na DNS znajdujący się w lanie?
Dla vpna próbowałem dodać na kliencie w configu "dhcp-option DNS 10.10.1.5" ale chyba on nie rozwiązuje zapytań, bo w pi-hole nie ma żadnych informacji o ruchu.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,846

Odp: lokalny DNS a różne interfejsy

Albo dajesz klientowi określone dhcp albo gdzieś na routerze który jest bramką dla  hostów robisz redirect portu 53. Nie wiem co jest lepsze, ale IMO klient powinien mieć określony jawnie DNS i tyle.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez eerozeteen

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Odp: lokalny DNS a różne interfejsy

nie chce robić partyzantki i przekierowywać zapytań po porcie. Wolałbym w jakiś sposób "wsadzić" w podsieci mojego DNSa, i jawnie przydzielać klientom DNS po dhcp. W takim przypadku zostawiłbym tylko otwarty port 53 na DNS (w danej podsieci) a resztę blokował żeby nie było dostępu do zasobów tej malinki.

Czy jest w ogóle możliwość zrobienia tak jak napisałem wyżej - "włączenia" w dane podsieci malinki z DNSem?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,846

Odp: lokalny DNS a różne interfejsy

Już nie wiem o co pytasz. Serwer dns musisz mieć w sieci lokalnej. Jeżeli masz kilka adresacji - zrób tak żeby rpi słuchało na każdej
Każdy klient ma mieć albo ustawiony adres rpi albo dostać z dhcp adres maliny jako serwer dns.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez eerozeteen

  • Zarejestrowany: 2013-06-24
  • Posty: 100

Odp: lokalny DNS a różne interfejsy

Tak, rozumiem idee jak to zrobić. Ale pytam za pomocą czego to zrobić (statyczny routing?) aby rpi było widoczne w "równoleglych" sieciach. Dla przypomnienia:

interfejs LAN --- 10.10.1.0/24 --- tutaj jest malina (adres rpi 10.10.1.5)
interfejs GuestWifi ---- 192.168.10.0/24 --- siec gosci --- jak tu zrobic "widoczna" maline.
VPN --- adresy z puli 12.8.0.0/24

Wszystkie 3 sieci sa od siebie odseparowane - a chciałbym używać dnsa maliny w tych sieciach (ale aby sieci byly nadal odseparowane). Chyba nie umiem wytłumaczyć za dobrze o co mi chodzi smile

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,846

Odp: lokalny DNS a różne interfejsy

Zrób sobie alias na interfejsie i nadaj klika adresów ip na tym samym ethernecie?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona