Re: Freie Namenswahl für Router (war: NFS-Mount geht nicht beim Hochfahren)
Am Mon, 30 May 2016 13:14:06 +0200 schrieb Jochen Spieker (Jochen
Spieker <ml@well-adjusted.de>):
> Thomas Michalka:
> > Am Fri, 27 May 2016 19:49:56 +0200 schrieb Jochen Spieker (Jochen
> > Spieker <ml@well-adjusted.de>):
> >> Thomas Michalka:
> >>>
> >>> OT zum Thema Sicherheit: ich würde an Deiner Stelle meiner
> >>> FritzBox einen anderen FQDN (und eine andere als die
> >>> voreingestellte IP) geben, weil es bösartige Webseiten gibt, die
> >>> im Javascript gezielt Fritz-Boxen anzusprechen,
> >>
> >> Gibt es dafür einen offiziellen Weg? Mich macht es wahnsinnig, dass
> >> das anscheinend nicht vorgesehen ist. Nur deswegen habe ich noch
> >> eine winzige Kiste laufen, die DHCP macht.
> …
> > Falls Du die Fritz-Boxen selber meinst: ich besitze keine, aber ich
> > meine irgendwo gelesen zu haben, dass man den Namen der Boxen
> > (Hostname) und deren Domain in der Box selber ändern kann. In
> > meinem geht das jedenfalls.
>
> Genau darum ging es mir. Es ist, soweit ich sehen kann, einfach nicht
> vorgesehen, dass die Fritzboxen etwas anderes als "fritz.box"
> verwenden. Ich will aber zu Hause eine eigene Domain verwenden. Das
> geht mit dem DHCP/DNS-Server auf den Fritzen nicht. Über Telnet
> konnte man da früher was rumpfuschen, aber das ist a) nicht supportet
> und b) habe ich seit dem eine Warnung im Webinterface, dass ich
> rumgepfuscht habe.
>
> > Aber grundsätzlich es ist ja so, dass der Name des Routers für einen
> > LAN-Host prinzipiell so lautet, als den ihn dieser Host im LAN
> > kennt.
>
> Mein Punkt ist, dass der DHCP-Server in der Fritzbox den Clients
> mitteilt, dass sie in der Domain '.box' (oder 'fritz.box') leben. Das
> will ich nicht.
>
> > Woher der LAN-Host den Namen bekommt, z.B. aus der
> > eigenen /etc/hosts oder von einem Nameserver im LAN, spielt dafür
> > keine Rolle.
>
> Der Nameserver ist halt normalerweise gerade die Fritzbox.
In der Anleitung (Kap. 12.8, S. 91) finde ich gerade, dass sie einen
DNS-Proxy hat. Das heißt nicht, dass sie die vom DHCP zugeteilten
Hostnamen in die Namensverwaltung übernimmt. Probiere doch mal aus,
einen Host so zu konfigureren, dass er nur eine IP-Adresse per DHCP
anfordert. So könntest Du den DNS-Server in der FRITZ!Box ins Leere
laufen lassen, denn ein Dienst muss immer noch von den Clients
angefragt werden und wird nicht vom Server aufgezwungen.
Im Gegensatz zum DNS-Proxy finde ich tatsächlich nichts über einen
konfigurierbaren DNS-Server in der Anleitung. Kann also schon sein, dass
die Box dem LAN die FQDN fritz.box aufzwingt :-(
Quasi als Nebenprodukt, den ein DNS-Proxy ist an sich nichts
Schlechtes. Ich frage mich, ob man den abschalten kann. Wenn ja, dann
müsstest Du jedem installierten OS den FQHN selber geben. In den
Dateien /etc/hosts der einzelnen OSs könntest Du dann auch der FRITZ!
Box einen anderen FQHN, z.B. ir.my.lan geben und auch zukünftig die
Konfigurationsseite mit https://ir.my.lan laden. Der Box ist es ja
egal, wie andere Hosts sie nennen, weil sie sich nur über die
IP-Adresse angesprochen fühlt.
>
> > Nach meiner Sicherheitsphilosophie sollte auf dem Internet-Router so
> > wenig Software wie möglich laufen, am besten nur die für das Routing
> > und die Schutzfunktionen absolut unverzichtbare Software, denn was
> > nicht läuft bzw. nicht installiert ist, kann auch nicht
> > kompromittiert werden.
>
> Ja, ach. DHCP/DNS für ein Heimnetz nähme ich schon gern aus der
> Schachtel.
Wie viele Rechner betreibst du denn parallel? Falls es nur ein paar
sind, würde doch DHCP (ohne DNS-Service) für die weniger gut oder oft
gar nicht konfigurierbaren Geräte, wie Mobilgeräte genügen. Es gibt z.B.
einen Multi-Shell-SSH-Client (Name fällt mir leider gerade nicht ein),
mit dem Du eine auf einem Host gepflegte /etc/hosts blitzartig auf alle
anderen Hosts verteilen kannst. Oder Du schreibst Dir dafür ein kleines
Skript, das Du als Cron-Job regelmäßig starten lässt. Alternativ nimmst
Du Zeroconf/Avahi. Das braucht keinen zentralen DNS-Server ...
> Und ich will dafür eigentlich keine separate Kiste laufen
... und daher auch keine eigene Kiste.
> haben. Ich könnte ein jessie nehmen, das eh im Keller läuft, aber das
> hat eine schlechtere Verfügbarkeit (und steht auch per Portforwarding
> im Internet), als das kleine OpenWrt-Ding, das sonst nichts zu tun
> hat.
Und warum willst Du das kleine OpenWRT-Ding nicht, z.B. als inneren
Router, um Dein übriges LAN von dem Internet-Server sicher zu trennen?
Gruß, Tom
Reply to: