<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<div class="moz-cite-prefix">Hallo Andreas!<br>
<br>
Soweit ich es im Moment sehen kann, ist zwar der DNS-Port am
externen Interface offen, jedoch antwortet Euer Router nicht auf
"externe" Anfragen, allerdings sind auch die ICMP-Antwortzeiten
(ping) z.T. im Moment auch ziemlich "vernebelt".<br>
<br>
Also: OK.<br>
<br>
Zu Akkus Mail - nslookup: das sollte man von außen testen - von
innen muss das Ergebnis nicht unbedingt stimmen.<br>
<br>
<br>
Trotzdem: Ihr könntet einmal ein Firmwareupgrade auf Eurem 1043er
machen z.b: auf Version RC1(<a
href="ftp://oe1xrw.ozw.wien.funkfeuer.at/Firmware/Base/RC1/ar71xx/openwrt-ar71xx-generic-tl-wr1043nd-v1-squashfs-sysupgrade.bin">1206</a>).
In den neueren Firmwares werden externe Anfragen an DNSmasq
automatisch ignoriert. Auch der WLAN-Treiber ist etwas aktueller.<br>
<br>
Leider sind im Netz teilweise noch z.T. sehr alte
Firmware-Versionen im Einsatz.<br>
Vielleicht sollten wir einmal einen Upgrade-Day veranstalten (an
dem zu einem bestimmten Termin ein paar kundige Personen Support
beim Upgrade geben und verteilt über Wien erste Hilfe leisten,
wenn etwas schief läuft)? -> Antworten bitte an die
discuss-Liste.<br>
<br>
SG<br>
Erich<br>
<br>
<br>
<br>
Am 2012-10-24 14:09, schrieb Andreas Dittrich:<br>
</div>
<blockquote
cite="mid:CAFX6RYFEJgm=PN7FJbQjqkJpzwXu1DpVnp3uSECiYaCkaE=zSg@mail.gmail.com"
type="cite">Liebe Liste,<br>
ich bin wenig bewandert in den technischen Sachen. Ich wollte, wie
empfohlen wurde, prüfen, ob unser Knoten (wei54) "offen rekursiv"
(was auch immer das bedeutet) ist.<br>
Ich habe also die Seite <a moz-do-not-send="true"
href="http://centralops.net/co/NsLookup.aspx" target="_blank">http://centralops.net/co/NsLookup.aspx</a>
aufgerufen und unsere Daten eingetragen:<br>
<div style="margin-left:40px"><u><label for="domain">domain</label></u>:
<a moz-do-not-send="true"
href="http://wei54v1.wei54.wien.funkfeuer.at">wei54v1.wei54.wien.funkfeuer.at</a><br>
<u>server</u>: 78.41.113.193<br>
</div>
Sonst habe ich das Formular unverändert gelassen. Ergebnis war:<br>
<div style="margin-left:40px">"Sending DNS query for <span
class="ipaddr"><a moz-do-not-send="true"
href="http://wei54v1.wei54.wien.funkfeuer.at">wei54v1.wei54.wien.funkfeuer.at</a></span>...<br>
DNS query for <span class="ipaddr"><a moz-do-not-send="true"
href="http://wei54v1.wei54.wien.funkfeuer.at">wei54v1.wei54.wien.funkfeuer.at</a></span>
failed: <b>TimedOut</b>"<br>
</div>
<br>
Meine Frage nun: passt das? habe ich etwas falsch gemacht? (Es kam
kein Bild.)<br>
<br>
Danke schonmal (und sorry wegen dieser Unwissenheit),<br>
Andreas (vom Knoten <a moz-do-not-send="true"
href="http://wei54v1.wei54.wien.funkfeuer.at">http://wei54v1.wei54.wien.funkfeuer.at</a>)<br>
<br>
<br>
<br>
<div class="gmail_quote">Am 24. Oktober 2012 00:55 schrieb gerhard
poller <span dir="ltr"><<a moz-do-not-send="true"
href="mailto:akku99@gmx.at" target="_blank">akku99@gmx.at</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
hab gestern dienstag mit einer hauruck aktion eine 5ghz
verbindung auf<br>
den knoten biss zu zelter7 gebaut<br>
dabei musste ich einen knoten ausperren (gesondertes mail an
user)<br>
wegen dns atacken<br>
<br>
neue backfire rc1 ist da zu finden<br>
<a moz-do-not-send="true"
href="ftp://oe1xrw.ozw.wien.funkfeuer.at/Firmware/Base/RC1/ar71xx/"
target="_blank">ftp://oe1xrw.ozw.wien.funkfeuer.at/Firmware/Base/RC1/ar71xx/</a>
.... sysupgrade.bin<br>
<br>
<br>
neue freifunk ist da zu finden<br>
<a moz-do-not-send="true"
href="http://ipkg.funkfeuer.at/autoupdate/freifunk-openwrt-autoupdate-1.7.4.11-0xff-markit-recommended.trx"
target="_blank">http://ipkg.funkfeuer.at/autoupdate/freifunk-openwrt-autoupdate-1.7.4.11-0xff-markit-recommended.trx</a><br>
<br>
<br>
<br>
hf akku<br>
<br>
<br>
/quote aus vergangenen mail/<br>
<br>
"Keep our network clean and fast"<br>
<br>
<br>
Liebe Funkfeuer Community,<br>
<br>
wie einige von euch in Erinnerung haben, gibt es bei uns im
Netz noch eine Menge sogenannte offen rekursive DNS server
(dnsmasq ist bei vielen Funkfeuer Knoten falsch konfiguriert).<br>
<br>
Der Effekt von diesen offen rekursiven DNS servern ist, dass
Seiten wie z.B. <a moz-do-not-send="true"
href="http://heise.de" target="_blank">heise.de</a>
attackiert werden.<br>
Siehe auch: <a moz-do-not-send="true"
href="http://www.heise.de/security/meldung/DDoS-auf-Heise-ueber-zu-offene-DNS-Server-1674636.html"
target="_blank">http://www.heise.de/security/meldung/DDoS-auf-Heise-ueber-zu-offene-DNS-Server-1674636.html</a><br>
<br>
Ob jetzt bei dem Angriff auf <a moz-do-not-send="true"
href="http://heise.de" target="_blank">heise.de</a>
Funkfeuer IPs mit im Spiel waren, weiss ich nicht. Aber das
aendert nichts an der Tatsache, dass unbedachte, offene
rekursive nameserver keine gute Idee sind (ausser man weiss,
was man tut zum Beispiel der Server von Google 8.8.8.8 ist
OK).<br>
<br>
Ich habe mit Mihi mitgeloggt, wie viele offene rekursive
nameserver bei uns im Netz sind.<br>
Die Zahl wird leider nicht wirklich weniger. Initial hatten
wir ~250. Nach der ersten Mail gab es ca. 70 weniger. Aber
dann blieb es konstant.<br>
<br>
Bild: <a moz-do-not-send="true"
href="http://vixie.funkfeuer.at/stats.png" target="_blank">http://vixie.funkfeuer.at/stats.png</a><br>
<br>
<br>
<br>
<br>
Was kann ich tun?<br>
================<br>
1) neueste Backfire Vienna installieren. Da sollte das Problem
behoben sein (-> Joe? Korrekt?)<br>
2) Sicher gehen, dass die eigene Funkfeuer IP (openwrt box)
nciht auf DNS Anfragen von ausserhalb des Funkfeuer Netzes
reagiert.<br>
Check: <a moz-do-not-send="true"
href="http://centralops.net/co/NsLookup.aspx"
target="_blank">http://centralops.net/co/NsLookup.aspx</a>
aufrufen. Die eigene IP bei "server" eintragen und probieren.<br>
Es sollte aussehen, wie auf dem Bild:<br>
<br>
<br>
<br>
3) Wenn dnsmasq aktiv ist, dann sollte der nur auf das lokale
LAN interface hoeren (dort wo euer Heim-PC dran haengt) und an
keinem anderen interface.<br>
<br>
<br>
Bei Fragen, bitte einfach auf die Liste posten.<br>
Ich hoffe, es kann sich eine motivierte Seele ein paar Minuten
Zeit nehmen und diese Empfehlungen ins Wiki geben (und
natuerlich verbessern!). Das waren jetzt nur ein schneller
Zwischenbericht aus unserem open recursor Monitoring Projekt.<br>
<br>
lg,<br>
Aaron.<br>
"Keep our network clean and fast"<br>
<br>
<br>
Credits: Michael Bauer, Aaron. Danke an Alex Szlezak fuer's
Bereitstellen des externen VServers.<span class="HOEnZb"><font
color="#888888"><br>
<br>
-- <br>
Erstellt mit Operas revolutionärem E-Mail-Modul: <a
moz-do-not-send="true" href="http://www.opera.com/mail/"
target="_blank">http://www.opera.com/mail/</a><br>
<br>
--<br>
Wien mailing list<br>
<a moz-do-not-send="true"
href="mailto:Wien@lists.funkfeuer.at" target="_blank">Wien@lists.funkfeuer.at</a><br>
<a moz-do-not-send="true"
href="https://lists.funkfeuer.at/mailman/listinfo/wien"
target="_blank">https://lists.funkfeuer.at/mailman/listinfo/wien</a><br>
</font></span></blockquote>
</div>
<br>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">--
Wien mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Wien@lists.funkfeuer.at">Wien@lists.funkfeuer.at</a>
<a class="moz-txt-link-freetext" href="https://lists.funkfeuer.at/mailman/listinfo/wien">https://lists.funkfeuer.at/mailman/listinfo/wien</a></pre>
</blockquote>
<br>
</body>
</html>