Discussion:
Fli4L und Pihole: Hohe Anzahl von Requests
(zu alt für eine Antwort)
W. Loefstedt
2019-06-20 19:49:42 UTC
Permalink
Hallo allerseits,

hier läuft seit langer Zeit ein Fli4L v3.6.2 zuverlässig. Ich habe jetzt
versuchsweise Pihole v4.3.1 auf einem Raspi1 aufgesetzt, die feste
lokale IP des Pihole im Fli4L eingetragen [base.txt (DNS_FORWARDERS),
dns_dhcp.txt (DHCP_RANGE_1_DNS_SERVER1)]. Alles läuft, der Pihole
filtert. Leider gibt es von Zeit zu Zeit eine sehr hohe Zahl (>200000)
von Requests des Fli4 an wechselnde WAN-Adressen, die natürlich alle
logs überlaufen lassen und manchmal auch zum Absturz des Pihole führen.

Kennt jemand dieses Verhalten? Kann man die Anzahl von schnell
aufeinander folgenden Requests auf eine WAN-Adresse limitieren?

Danke für die Unterstützung und Gruss,

oliaros
Kay Martinen
2019-06-20 22:21:22 UTC
Permalink
Post by W. Loefstedt
hier läuft seit langer Zeit ein Fli4L v3.6.2 zuverlässig. Ich habe jetzt
versuchsweise Pihole v4.3.1 auf einem Raspi1 aufgesetzt, die feste
lokale IP des Pihole im Fli4L eingetragen [base.txt (DNS_FORWARDERS),
D.h. der FLI fragt bei namensauflösungen zuerst den pihole und nicht
mehr direkt den Nameserver des Providers? Und wen fragt der pihole dann
- über den FLI oder direkt?
Post by W. Loefstedt
dns_dhcp.txt (DHCP_RANGE_1_DNS_SERVER1)]. Alles läuft, der Pihole
D.h. interne Clients bekommen bei der adresszuweisung auch den pihole
als nameserver genannt - und NUR den? Oder auch den FLI, was den u.g.
effekt mildern oder verstärken könnte.
Post by W. Loefstedt
filtert. Leider gibt es von Zeit zu Zeit eine sehr hohe Zahl (>200000)
von Requests des Fli4 an wechselnde WAN-Adressen, die natürlich alle
logs überlaufen lassen und manchmal auch zum Absturz des Pihole führen.
Ich denke du müsstest mehr erzählen wie dein Setup aussieht. Ist der
pihole auf der LAN-Seite des FLI? Benutzt du ein Externes Modem mit
pppoe am WAN Port des FLI oder hängt dort eine Provider-box/router und
der FLI ist dessen Client? Hängt in dem Fall der pihole zwischen
Provider-router und dem FLI?

Wie fandest du raus das 200000 Requests vom FLI an WAN-Adressen gingen?
Post by W. Loefstedt
Kennt jemand dieses Verhalten? Kann man die Anzahl von schnell
aufeinander folgenden Requests auf eine WAN-Adresse limitieren?
Da ich noch kein pihole einsetze weiß ich dazu nichts. Ich könnte mir
aber vorstellen das du ein Grundlegendes Konstruktions-Problem in deinem
Setup hast was dies auslösen kann.

Wenn z.b. der pihole eine anfrage nach einer domain an den FLI stellt
und dieser so eingerichtet ist das er diese weiterleitet - an den
pihole... dann kann ich mir einen selbstverstärkenden Effekt vorstellen.
Quasi eine Endlos-Schleife in der die Anfrage immer hin und her pendelt.

Wenn dazu noch anfragen der Clients direkt an den pihole gestellt werden
dann verstärkt sich das noch mehr. Das ganze nennt man eine Amplifying
Attack und wird gerne für DDoS genutzt.

Oder wolltest du dich selbst Hacken? ;-)

Kay
--
Sent via SN (Eisfair-1)
W. Loefstedt
2019-06-21 08:28:41 UTC
Permalink
Am 21.06.2019 um 00:21 schrieb Kay Martinen:

Hallo Kay,
danke für deine Nachricht. Manchmal sieht man den Wald vor lauter Bäumen
nicht.
Post by Kay Martinen
D.h. der FLI fragt bei namensauflösungen zuerst den pihole und nicht
mehr direkt den Nameserver des Providers? Und wen fragt der pihole
dann - über den FLI oder direkt?
Genauso war's: Die DNS-Anfrage ging vom Fli an den Pi und der hat sie
zurück an den Fli geschickt. Damit ergab sich die Rückkopplung mit der
gigantischen Zahl von Requests. Was ich nicht begreife ist, dass diese
Konfiguration zumindest teilweise funktioniert konnte.

Die (funktionierende !) Konfiguration von Fli und Pi sieht jetzt
folgendermassen aus: Auf dem Fli ist eingetragen als 1. DNS-Server der
Pi im lokalen Netz, als 2. DNS-Server 1.1.1.1 (falls der Pi ausfällt).
Auf dem Pi ist 1.1.1.1 als DNS-Server eingetragen.
Post by Kay Martinen
Ich denke du müsstest mehr erzählen wie dein Setup aussieht. Ist der
pihole auf der LAN-Seite des FLI? Benutzt du ein Externes Modem mit
pppoe am WAN Port des FLI oder hängt dort eine Provider-box/router
und der FLI ist dessen Client? Hängt in dem Fall der pihole zwischen
Provider-router und dem FLI?
Meine Konfiguration hier sieht folgendermassen aus: Provider ist die
Telekom mit einem 50/10Mbit Anschluss, als Modem läuft ein Zyxxel
VMG1312-B30A, daran der Fli auf einem Igel Thin Client. Der Pi hängt mit
fester IP im lokalen Netz.
Post by Kay Martinen
Ich könnte mir aber vorstellen das du ein Grundlegendes
Konstruktions-Problem in deinem Setup hast was dies auslösen kann.
Wenn z.b. der pihole eine anfrage nach einer domain an den FLI stellt
und dieser so eingerichtet ist das er diese weiterleitet - an den
pihole... dann kann ich mir einen selbstverstärkenden Effekt
vorstellen. Quasi eine Endlos-Schleife in der die Anfrage immer hin
und her pendelt.
Stimmt, s.o.
Post by Kay Martinen
Wenn dazu noch anfragen der Clients direkt an den pihole gestellt
werden dann verstärkt sich das noch mehr. Das ganze nennt man eine
Amplifying Attack und wird gerne für DDoS genutzt.
Oder wolltest du dich selbst Hacken? ;-)
Das ist mir gelungen ;-)

Nochmal vielen Dank für die Unterstützung,

Gruss, Wolfgang
Kay Martinen
2019-06-21 11:49:47 UTC
Permalink
Post by W. Loefstedt
Hallo Kay,
danke für deine Nachricht. Manchmal sieht man den Wald vor lauter Bäumen
nicht.
So was hab ich vermutet.
Post by W. Loefstedt
Post by Kay Martinen
D.h. der FLI fragt bei namensauflösungen zuerst den pihole und nicht
mehr direkt den Nameserver des Providers? Und wen fragt der pihole
dann - über den FLI oder direkt?
Genauso war's: Die DNS-Anfrage ging vom Fli an den Pi und der hat sie
zurück an den Fli geschickt. Damit ergab sich die Rückkopplung mit der
gigantischen Zahl von Requests. Was ich nicht begreife ist, dass diese
Konfiguration zumindest teilweise funktioniert konnte.
Könnte eine Frage von Timing und Erreichbarkeit gewesen sein.

Wenn du noch einen zweiten DNS (evtl. vom Provider) im FLI hattest kann
es sein das dein FLI den zwischendurch befragte weil er keine Antwort
bekam. Oder deine Clients bekamen AUCH den FLI und haben den gefragt und
der den Provider weil dein pi ausgelastet war.
Post by W. Loefstedt
Die (funktionierende !) Konfiguration von Fli und Pi sieht jetzt
folgendermassen aus: Auf dem Fli ist eingetragen als 1. DNS-Server der
Pi im lokalen Netz, als 2. DNS-Server 1.1.1.1 (falls der Pi ausfällt).
Auf dem Pi ist 1.1.1.1 als DNS-Server eingetragen.
Post by Kay Martinen
Ich denke du müsstest mehr erzählen wie dein Setup aussieht. Ist der
pihole auf der LAN-Seite des FLI? Benutzt du ein Externes Modem mit
pppoe am WAN Port des FLI oder hängt dort eine Provider-box/router
und der FLI ist dessen Client? Hängt in dem Fall der pihole zwischen
Provider-router und dem FLI?
Meine Konfiguration hier sieht folgendermassen aus: Provider ist die
Telekom mit einem 50/10Mbit Anschluss, als Modem läuft ein Zyxxel
VMG1312-B30A, daran der Fli auf einem Igel Thin Client. Der Pi hängt mit
fester IP im lokalen Netz.
Ich kenne den Zyxel nicht. Aber wenn der als Router läuft dann kannst du
den pihole auch in dessen Zwischennetz (also auf die WAN-Seite des FLI)
packen. Dann fragt der FLI den Pi, der Pi den Zyxel und der schickt es
dann raus. Und Antworten gehen den gleichen weg zurück. Und deine
Internen Clients können direkt den FLI ansprechen von dem sie ja auch
ihre IP-Konfig bekommen.

Mit dem pihole im Internen netz besteht immer die Gefahr das eine
Fehlkonfig im DNS-Setup irgendwo den pi umgeht und die Schutzwirkung
wieder aufhebt. Du müsstest sonst eine Firewall-regel einrichten die es
ALLEN verbietet direkt nameserver an zu sprechen - außer dem pihole
selbst und ggf. dem FLI.
Post by W. Loefstedt
Post by Kay Martinen
Oder wolltest du dich selbst Hacken? ;-)
Das ist mir gelungen ;-)
Dann mache mal einen neuen Proof of Concept und spiele Hacker im LAN.
Dann weißt du ob jetzt alles richtig liefe.

Kay
--
Sent via SN (Eisfair-1)
Loading...