[Wien] DNS recursion - War: Re: floridsdorf wieder online -

Erich N. Pekarek (spam-protected)
Mi Okt 24 14:50:08 CEST 2012 

Hallo Andreas!

Soweit ich es im Moment sehen kann, ist zwar der DNS-Port am externen 
Interface offen, jedoch antwortet Euer Router nicht auf "externe" 
Anfragen, allerdings sind auch die ICMP-Antwortzeiten (ping)  z.T. im 
Moment auch ziemlich "vernebelt".

Also: OK.

Zu Akkus Mail - nslookup: das sollte man von außen testen - von innen 
muss das Ergebnis nicht unbedingt stimmen.


Trotzdem: Ihr könntet einmal ein Firmwareupgrade auf Eurem 1043er machen 
z.b: auf Version RC1(1206 
<ftp://oe1xrw.ozw.wien.funkfeuer.at/Firmware/Base/RC1/ar71xx/openwrt-ar71xx-generic-tl-wr1043nd-v1-squashfs-sysupgrade.bin>). 
In den neueren Firmwares werden externe Anfragen an DNSmasq automatisch 
ignoriert. Auch der WLAN-Treiber ist etwas aktueller.

Leider sind im Netz teilweise noch z.T. sehr alte Firmware-Versionen im 
Einsatz.
Vielleicht sollten wir einmal einen Upgrade-Day veranstalten (an dem zu 
einem bestimmten Termin ein paar kundige Personen Support beim Upgrade 
geben und verteilt über Wien erste Hilfe leisten, wenn etwas schief 
läuft)? -> Antworten bitte an die discuss-Liste.

SG
Erich



Am 2012-10-24 14:09, schrieb Andreas Dittrich:
> Liebe Liste,
> ich bin wenig bewandert in den technischen Sachen. Ich wollte, wie 
> empfohlen wurde, prüfen, ob unser Knoten (wei54) "offen rekursiv" (was 
> auch immer das bedeutet) ist.
> Ich habe also die Seite http://centralops.net/co/NsLookup.aspx 
> aufgerufen und unsere Daten eingetragen:
> _domain_: wei54v1.wei54.wien.funkfeuer.at 
> <http://wei54v1.wei54.wien.funkfeuer.at>
> _server_: 78.41.113.193
> Sonst habe ich das Formular unverändert gelassen. Ergebnis war:
> "Sending DNS query for wei54v1.wei54.wien.funkfeuer.at 
> <http://wei54v1.wei54.wien.funkfeuer.at>...
> DNS query for wei54v1.wei54.wien.funkfeuer.at 
> <http://wei54v1.wei54.wien.funkfeuer.at> failed: *TimedOut*"
>
> Meine Frage nun: passt das? habe ich etwas falsch gemacht? (Es kam 
> kein Bild.)
>
> Danke schonmal (und sorry wegen dieser Unwissenheit),
>  Andreas (vom Knoten http://wei54v1.wei54.wien.funkfeuer.at)
>
>
>
> Am 24. Oktober 2012 00:55 schrieb gerhard poller <(spam-protected) 
> <mailto:(spam-protected)>>:
>
>     hab gestern dienstag mit einer hauruck aktion eine 5ghz verbindung auf
>     den knoten biss zu zelter7  gebaut
>     dabei musste ich einen knoten ausperren (gesondertes mail an user)
>     wegen dns atacken
>
>     neue backfire rc1 ist da zu finden
>     ftp://oe1xrw.ozw.wien.funkfeuer.at/Firmware/Base/RC1/ar71xx/  ....
>     sysupgrade.bin
>
>
>     neue freifunk ist da zu finden
>     http://ipkg.funkfeuer.at/autoupdate/freifunk-openwrt-autoupdate-1.7.4.11-0xff-markit-recommended.trx
>
>
>
>     hf akku
>
>
>     /quote aus vergangenen mail/
>
>     "Keep our network clean and fast"
>
>
>     Liebe Funkfeuer Community,
>
>     wie einige von euch in Erinnerung haben, gibt es bei uns im Netz
>     noch eine Menge sogenannte offen rekursive DNS server (dnsmasq ist
>     bei vielen Funkfeuer Knoten falsch konfiguriert).
>
>     Der Effekt von diesen offen rekursiven DNS servern ist, dass
>     Seiten wie z.B. heise.de <http://heise.de> attackiert werden.
>     Siehe auch:
>     http://www.heise.de/security/meldung/DDoS-auf-Heise-ueber-zu-offene-DNS-Server-1674636.html
>
>     Ob jetzt bei dem Angriff auf heise.de <http://heise.de> Funkfeuer
>     IPs mit im Spiel waren, weiss ich nicht. Aber das aendert nichts
>     an der Tatsache, dass unbedachte, offene rekursive nameserver
>     keine gute Idee sind (ausser man weiss, was man tut zum Beispiel
>     der Server von Google 8.8.8.8 ist OK).
>
>     Ich habe mit Mihi mitgeloggt, wie viele offene rekursive
>     nameserver bei uns im Netz sind.
>     Die Zahl wird leider nicht wirklich weniger. Initial hatten wir
>     ~250. Nach der ersten Mail gab es ca. 70 weniger. Aber dann blieb
>     es konstant.
>
>     Bild: http://vixie.funkfeuer.at/stats.png
>
>
>
>
>     Was kann ich tun?
>     ================
>     1) neueste Backfire Vienna installieren. Da sollte das Problem
>     behoben sein (-> Joe? Korrekt?)
>     2) Sicher gehen, dass die eigene Funkfeuer IP (openwrt box) nciht
>     auf DNS Anfragen von ausserhalb des Funkfeuer Netzes reagiert.
>     Check: http://centralops.net/co/NsLookup.aspx aufrufen. Die eigene
>     IP bei "server" eintragen und probieren.
>     Es sollte aussehen, wie auf dem Bild:
>
>
>
>     3) Wenn dnsmasq aktiv ist, dann sollte der nur auf das lokale LAN
>     interface hoeren (dort wo euer Heim-PC dran haengt) und an keinem
>     anderen interface.
>
>
>     Bei Fragen, bitte einfach auf die Liste posten.
>     Ich hoffe, es kann sich eine motivierte Seele ein paar Minuten
>     Zeit nehmen und diese Empfehlungen ins Wiki geben (und natuerlich
>     verbessern!). Das waren jetzt nur ein schneller Zwischenbericht
>     aus unserem open recursor Monitoring Projekt.
>
>     lg,
>     Aaron.
>     "Keep our network clean and fast"
>
>
>     Credits: Michael Bauer, Aaron. Danke an Alex Szlezak fuer's
>     Bereitstellen des externen VServers.
>
>     -- 
>     Erstellt mit Operas revolutionärem E-Mail-Modul:
>     http://www.opera.com/mail/
>
>     --
>     Wien mailing list
>     (spam-protected) <mailto:(spam-protected)>
>     https://lists.funkfeuer.at/mailman/listinfo/wien
>
>
>
>
> --
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20121024/eecd92b0/attachment.htm>

Mehr Informationen über die Mailingliste Wien