14
DNS-Manipulation
Guten Tag,
Dieses Fragebeispiel ist zwar im Zusammenhang mit NTP-Servern, soll aber eher dem allgemeinen Verständnis zu DNS dienen. Also bitte nicht nur auf das NTP versteifen.
Einige Geräte haben einen fest programmierten Anfrage-Eintrag für einen NTP-Server. Als Beispiel android: time.android.com, Microsoft: time.windows.com, Linux: pool.ntp.org. iphone: time-ios.apple.com
okay, ich weiß, wie man den NTP-Eintrag bei den Devices ändert. Ist ja nur ein Beispiel.
Wenn ich jetzt nicht möchte, dass die Geräte den herstellerseitigen Eintrag verwenden und ihn nicht am Gerät ändern könnte, wie könnte ich diesen dann umleiten?
Gehen wir mal davon aus, ich hätte einen eigenen DNS-Server zur Verfügung. (Mit Pihole und Unbound ist das ja auch für Unerfahrene nicht mehr mit großem Aufwand verbunden. Ein Rasberry und etwas Zeit genügen schon)
Soll natürlich nur für die eigenen Geräte im eigenen LAN-Netzwerk umgeleitet werden.
Freue mich auf euer Feedback.
Gruß
IT-Einsteiger
Dieses Fragebeispiel ist zwar im Zusammenhang mit NTP-Servern, soll aber eher dem allgemeinen Verständnis zu DNS dienen. Also bitte nicht nur auf das NTP versteifen.
Einige Geräte haben einen fest programmierten Anfrage-Eintrag für einen NTP-Server. Als Beispiel android: time.android.com, Microsoft: time.windows.com, Linux: pool.ntp.org. iphone: time-ios.apple.com
okay, ich weiß, wie man den NTP-Eintrag bei den Devices ändert. Ist ja nur ein Beispiel.
Wenn ich jetzt nicht möchte, dass die Geräte den herstellerseitigen Eintrag verwenden und ihn nicht am Gerät ändern könnte, wie könnte ich diesen dann umleiten?
Gehen wir mal davon aus, ich hätte einen eigenen DNS-Server zur Verfügung. (Mit Pihole und Unbound ist das ja auch für Unerfahrene nicht mehr mit großem Aufwand verbunden. Ein Rasberry und etwas Zeit genügen schon)
Soll natürlich nur für die eigenen Geräte im eigenen LAN-Netzwerk umgeleitet werden.
Freue mich auf euer Feedback.
Gruß
IT-Einsteiger
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 569841
Url: https://administrator.de/contentid/569841
Printed on: April 25, 2024 at 21:04 o'clock
14 Comments
Latest comment
Zitat von @IT-Einsteiger:
Wenn ich jetzt nicht möchte, dass die Geräte den herstellerseitigen Eintrag verwenden und ihn nicht am Gerät ändern könnte, wie könnte ich diesen dann umleiten?
Gehen wir mal davon aus, ich hätte einen eigenen DNS-Server zur Verfügung. (Mit Pihole und Unbound ist das ja auch für Unerfahrene nicht mehr mit großem Aufwand verbunden. Ein Rasberry und etwas Zeit genügen schon)
Soll natürlich nur für die eigenen Geräte im eigenen LAN-Netzwerk umgeleitet werden.
Freue mich auf euer Feedback.
Wenn ich jetzt nicht möchte, dass die Geräte den herstellerseitigen Eintrag verwenden und ihn nicht am Gerät ändern könnte, wie könnte ich diesen dann umleiten?
Gehen wir mal davon aus, ich hätte einen eigenen DNS-Server zur Verfügung. (Mit Pihole und Unbound ist das ja auch für Unerfahrene nicht mehr mit großem Aufwand verbunden. Ein Rasberry und etwas Zeit genügen schon)
Soll natürlich nur für die eigenen Geräte im eigenen LAN-Netzwerk umgeleitet werden.
Freue mich auf euer Feedback.
Du konfigurierst einfach Deinen eigenen Server so, daß er "falsche" Antworten liefert. ggf. noch als transparent proxy in der Firewall einrichten, daß man sogar nicht mal den Nameserevr in den Kisten ändern muß.
Aber spätestens bei DNS-Sec könntest Du auf die Nase fallen.
lks
Ja genau. Nur wie mache ich dieses falsche Antwort liefern? Da time.android.com nicht mir gehört kann ich ja keinen A-Record setzen sondern muss einen anderen nehmen Nur welchen?
Grüße
Grüße
Moin,
natürlich kannst du auf deinem DNS auch einen A-Record für die Domain setzen, die dir nicht gehört...
VG
natürlich kannst du auf deinem DNS auch einen A-Record für die Domain setzen, die dir nicht gehört...
VG
Zitat von @IT-Einsteiger:
Ja genau. Nur wie mache ich dieses falsche Antwort liefern? Da time.android.com nicht mir gehört kann ich ja keinen A-Record setzen sondern muss einen anderen nehmen Nur welchen?
Ja genau. Nur wie mache ich dieses falsche Antwort liefern? Da time.android.com nicht mir gehört kann ich ja keinen A-Record setzen sondern muss einen anderen nehmen Nur welchen?
Einfach "Lügen", genauso wie es auch pi-hole macht. Du machst einen A-record für time.android.com und schon hast Du MITM gespielt.
lks
Hallo,
warum das auf DNS ebene umleiten?
Auf Firewallebene alle Anfragen von 123/UDP nach außen auf eine von dir bestimmte IP umleiten.
warum das auf DNS ebene umleiten?
Auf Firewallebene alle Anfragen von 123/UDP nach außen auf eine von dir bestimmte IP umleiten.
Zitat von @wiesi200:
Auf Firewallebene alle Anfragen von 123/UDP nach außen auf eine von dir bestimmte IP umleiten.
Auf Firewallebene alle Anfragen von 123/UDP nach außen auf eine von dir bestimmte IP umleiten.
Und natürlich noch die Ausnahme für Deinen NTP Server in der FW anlegen, wenn der denn die Zeit von "draußen" bekommen soll.
Das ist dieser Beitrag hier 
Hab auch kurz überlegt, aber würd sagen nein. Die Probleme kann man unabhängig betrachten.
Und so ist es im Sinne von Frank als Wissensdatenbank fast sogar sinnvoller.
zumindest meiner Meinung nach.
Und so ist es im Sinne von Frank als Wissensdatenbank fast sogar sinnvoller.
zumindest meiner Meinung nach.
Moin,
Aqui meinte wohl DNS Verschachtelung zugunsten NTP und hat den falschen Link beim Antworten erwischt.
lks
iptables -t nat -I PREROUTING -p udp --dport 123 -s <interne IP des Geräts> -j DNAT --to <interner ntp>iptables -t nat -I PREROUTING -p udp -s <interne IP des Geräts>--dport 53 -j DNAT --to <interner dns>iptables -t nat -I PREROUTING -p tcp -s <interne IP des Geräts> --dport 53 -j DNAT --to <interner dns>usw.
Würde ich nicht sagen. In dem einen Post geht es um eine Verschachtelung und Loadbalancing bzw. ein erhoftes Failovering, in diesem Post hier geht es darum eine nicht in meinem Besitz stehende Domain auf meinen Wunsch umzuleiten. Deshalb habe ich es ja auch als zwei differenzierte Posts angelegt.
Hallo,
IP-Cops hatten z.B. eine Funktion, die alle NTP-Anfragen auf die Firewall umgeleitet hat.
„Gehen“ tut das also.
Gruß,
Jörg
IP-Cops hatten z.B. eine Funktion, die alle NTP-Anfragen auf die Firewall umgeleitet hat.
„Gehen“ tut das also.
Gruß,
Jörg
Zitat von @117471:
Hallo,
IP-Cops hatten z.B. eine Funktion, die alle NTP-Anfragen auf die Firewall umgeleitet hat.
„Gehen“ tut das also.
Hallo,
IP-Cops hatten z.B. eine Funktion, die alle NTP-Anfragen auf die Firewall umgeleitet hat.
„Gehen“ tut das also.
Das kann jede bessere Firewall. Man muß ich nur entscheiden, auf welche Protokollebene man die Pakete wie manipulieren will.
lks
