Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / nefunkční DNS při nastavení wan input reject ve firewallu
- - Od snow Dne 2015-12-16 17:29
Mám nový Turris a vnitřní síť s veřejnými adresami, tedy jsem potřeboval změnit výchozí nastavení firewallu - vypnout NAT a povolit forwarding. Působí mi to nečekané problémy s DNS resolverem.

Konkrétně, když ve webovém rozhraní vypnu masquerading na wan portu, přestane mi fungovat DNS resolver na Turrisu (testováno přes ssh + nslookup). Začne fungovat jen v případě, že
1) opět zapnu masquerading nebo
2) nastavím wan input na accept

Přikládám obsah /etc/config/firewall: http://pastebin.com/vqWPN5bz

Kontroloval jsem i iptables, ale změny jsou odpovídající - zapnutí/vypnutí masuqeradingu resp. reject/accept jako poslední chain wan inputu. Kompletní nefunkční konfigurace zde: http://pastebin.com/xgzmAEiC

Má někdo podobnou zkušenost? Jak by se problém dal vyřešit nebo dále diagnostikovat? Děkuji!
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2015-12-16 22:26
To je velmi zvláštní chování. Skutečně, můj router se chová stejně. Příčinu neznám, ale jako workaround je možné definovat pravidlo povolující příchozí DNS odpovědi:

config rule
        option name 'Allow-DNS-reply'
        option src 'wan'
        option proto 'tcpudp'
        option src_port '53'
        option target 'ACCEPT'
Nadřazený - - Od snow Dne 2015-12-17 08:40
Děkuji. Po trochu delším provozu je nápadné, že je 0 akceptovaných paketů pravidlem ctstate RELATED,ESTABLISHED - jak na inputu, tak při forwardingu. Na outputu totéž pravidlo funguje. Může Turris používat nějakou konfiguraci, která rozbíjí connection tracking? 
Chain delegate_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination
46889   18M forwarding_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for forwarding */
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
21927   14M zone_lan_forward  all  --  br-lan *       0.0.0.0/0            0.0.0.0/0
24962 3935K zone_wan_forward  all  --  eth2   *       0.0.0.0/0            0.0.0.0/0
    0     0 reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain delegate_input (1 references)
 pkts bytes target     prot opt in     out     source               destination
  173 44083 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
 1794  252K input_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for input */
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   74  3300 syn_flood  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x02
 1794  252K ucollect_fake_accept  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  869 82493 zone_lan_input  all  --  br-lan *       0.0.0.0/0            0.0.0.0/0
  925  169K zone_wan_input  all  --  eth2   *       0.0.0.0/0            0.0.0.0/0
    0     0 accept     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain delegate_output (1 references)
 pkts bytes target     prot opt in     out     source               destination
  173 44083 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0
 3426  830K output_rule  all  --  *      *       0.0.0.0/0            0.0.0.0/0            /* user chain for output */
  196 56260 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 1061  587K zone_lan_output  all  --  *      br-lan  0.0.0.0/0            0.0.0.0/0
 2169  187K zone_wan_output  all  --  *      eth2    0.0.0.0/0            0.0.0.0/0
    0     0 accept     all  --  *      *       0.0.0.0/0            0.0.0.0/0
Nadřazený - - Od Michal Vaner (>>) Dne 2015-12-17 10:08
Dobrý den

Nezkoumal jsem důkladně, ale matně si pamatuji nějakou poznámku v dokumentaci, že connection tracking není zapnutý automaticky a že se zapne buď NATem nebo nějakou volbou. Proto bych čekal, že ho máte vypnutý.

S pozdravem
Nadřazený - - Od snow Dne 2015-12-17 10:49
Děkuji! To je přesně ono.

Pokud by někdo měl stejný problém, stačí přidat option conntrack '1' do nastavení zón a začne to fungovat správně. Dá se to opravdu vyčíst v dokumentaci nastavení firewallu na stránkách OpenWRT.
Nadřazený - Od Ondřej Caletka (>>>) Dne 2015-12-17 10:58
Bingo! Přesně teď jsem to vyzkoumal taky. Velmi zajímavé, o tom jsem vůbec nevěděl.

Inu, člověk se učí každý den!
Nahoru Téma Majitelé routerů / Technická podpora / nefunkční DNS při nastavení wan input reject ve firewallu

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill