DNS Blocking in Jail

SWirth

Member
Hallo Experten,

Ich habe den DNS Kontrolleur adguardhome in deiner jail mittels Bastille installiert.
Die firewall ist so konfiguriert (pf.conf):
Code:
ext_if="genet0"

set block-policy return
scrub in on $ext_if all fragment reassemble
set skip on lo

table <jails> persist
nat on $ext_if from <jails> to any -> ($ext_if:0)

## static rdr example
rdr pass inet proto tcp from any to any port {53, 80, 443, 853, 3000, 3010} ->

## Enable dynamic rdr (see below)
rdr-anchor "rdr/*"

block in all
pass out quick keep state
antispoof for $ext_if inet
pass in inet proto tcp from any to any port ssh flags S/SA keep state

Leider kommt nichts durch, auch nicht vom Host-System.
Ich hab mit drill explizit verschiedene DNS Server probiert, gehen alle, nur der in meiner jail ist nicht erreichbar.
Hat jemand eine Ahnung ob man in der pf.conf noch nachjustieren muss?

Vielen lieben Dank.
 
Ich bin jetzt kein pf Profi, aber:

Die "block in all" Rule sollte mE nach oben, nach das "nat". Dann hast du für das rdr keine ZielIP angegeben?
Dann hast du undefinierte anchors?
 
Die "block in all" Rule sollte mE nach oben, nach das "nat". Dann hast du für das rdr keine ZielIP angegeben?
Dann hast du undefinierte anchors?
Nein, das ist schon korrekt so. rdr und nat kommen vor dem block rule. Das mit der Ziel-IP hast Du recht. Die fehlt oben nach dem ->. Ich wuerde der rdr rule noch udp als proto mitgeben.

Beispiel:
Code:
rdr on $ext_if proto { tcp udp } from any to any port { 53, 80, 443, 853, 3000, 3010 } -> $jail_ip
 
Zuletzt bearbeitet:
Danke für die Hinweise.
Mit UDP hatte ich auch schon gespielt, die Schreibweise war mir nicht klar.
Die Jail IP ist drinn bei mir, ist beim kopieren leider verloren gegangen.
Leider kommt immer noch die Fehlermeldung.

Error: error sending query: Could not send or receive, because of network error

Den internen webserver kann ich ansprechen, die ports 3000 und 80 funktionieren astrein.
 
Zurück
Oben