UTM/APP/Nameserver: Unterschied zwischen den Versionen

Version vom 20. Februar 2024, 14:25 Uhr

Nameserver Konfiguration auf der UTM

Letzte Anpassung zur Version: 12.6.1

Neu:

Layoutänderung beim mDNS-Repeater
Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

v12.2.2 v11.6

Einleitung

Der Nameserver der UTM bietet:

Forward-Zonen: Namensauflösung (FQDN) in IP-Adressen
Reverse-Zonen: IP-Adressen in FQDN)
Relay-Zonen: Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören
DNS Forwarding: Weiterleiten sämtlicher DNS Anfragen

Um den Nameserver der UTM nutzen zu können, muss im Paketfilter eine Regel mit dem jeweiligen Netz als Quelle und dem Ziel

xy-Interface existieren.
Als Dienst muss mindestens

dns erlaubt werden (Port 53 für TCP und UDP).
Es empfiehlt sich in der Regel jedoch die Dienstgruppe

proxy zu verwenden. Dies gibt weitere Ports für Dienste wie z.B. den transparenten Proxy, webcache oder einen Ping frei.

Voraussetzungen

Firewall als Nameserver festlegen

Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Nameserver IP Im ersten Schritt muss die UTM selbst als Nameserver der Firewall festgelegt werden.

Konfiguration unter Netzwerk Servereinstellungen Bereich Servereinstellungen Abschnitt
DNS-Server
Feld Primärer Nameserver als IP die 127.0.0.1 (localhost) setzen.
Speichern mit

Wird kein Nameserver hinterlegt, werden DNS-Anfragen über die root-DNS-Server und die dort hinterlegten DNS-Server für die Top-Level-Domains aufgelöst

Forward-Zone

Eine Forward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet.
Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain gezeigt.
Wird der DNS der Firewall zur Auflösung verwendet, soll eine private IP aus dem internen Netz zurückgegeben werden.

Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist.
Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden.
Einrichtung unter Anwendungen Nameserver Bereich Zonen Schaltfläche Forward-Zone hinzufügen.

notempty

Wenn ein NAT-Router vorhanden ist, muss eine Forward-Zone eingerichtet werden.

A-RR anlegen

Schritt 1

Zonenname: webserver.anyideas.de
Domain, die von einem internen DNS-Server verwaltet wird

Schritt 2

Nameserver Hostname: localhost
Als Nameserver dient die UTM selbst

Schritt 3

IP-Adresse:

Die IP-Adresse ist nur dann erforderlich, wenn der Nameserver in der Zone liegt, die gerade erstellt wird und nicht der localhost, also die UTM selbst ist

Abschluss des Assistenten mit der Schaltfläche Fertig

Beschriftung

Wert

Beschreibung

Zonen Übersicht

Bearbeiten

Die Zone kann durch einen Klick auf den Schraubenschlüssel bearbeitet werden

Einstellungen

Typ:

Einstellungen für Forward Zonen

Zone bearbeiten

Aktualisierung:

10000

Sekunden

Frequenz, mit der der Eintrag aktualisiert wird

Retry:

1800

Sekunden

Wiederholung der Aktualisierung bei Fehlschlag

Läuft ab:

3600000

Sekunden

Ablauffrist des Eintrags (beginnt nach erfolgreicher Aktualisierung erneut

Minimum:

3600

Sekunden

Einträge

Typ NS

localhost.

Es existiert bereits ein NS-Eintrag (mit Punkt am Ende!)

Bearbeiten

Öffnet den Record-Eintrag zum Bearbeiten

Löschen

Löscht den Record-Eintrag

Eintrag hinzufügen

Weiteren Record Eintrag hinzufügen

Name:

webserver.anyideas.de.

Gewünschter Domain Name

An die Domain wird ein Punkt "." gehängt (=Top-Level)

UTM v12.6 Nameserver Record hinzufügen.png

Eintrag hinzufügen

Typ:

A-Record Eintrag wählen

Typ	Beschreibung
NS	Ein NS-Record (bzw. NS-RR: Name Server Resource Record) ist ein Datensatz eines DNS Servers und kann zwei unterschiedliche Funktionen erfüllen: Er definiert, welche Nameserver für diese Zone offiziell zuständig sind. Er verkettet Zonen zu einem Zonen-Baum (Delegation). In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist. Ist zum Bsp. die Firewall selbst zuständig muss hier "localhost" ausgewählt/eingegeben werden.
A	Mit einem A-RR (A Resource Record) wird einem DNS-Namen eine IPv4-Adresse zugeordnet.
AAAA	Mit einem AAAA Resource Record („quad-A“) wird einem DNS-Namen eine IPv6-Adresse zugeordnet. Es handelt sich damit um die IPv6-Entsprechung zum A Resource Record.
TXT	Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden. TXT Records können unter anderem zum Tunneln über DNS eingesetzt werden.
PTR	PTR Resource Records ordnen im Domain Name System einer gegebenen IP-Adresse einen oder mehrere Hostname(n) zu. Sie stellen damit gewissermaßen das Gegenstück zur klassischen Zuordnung einer oder mehrerer IP-Adresse(n) zu einem gegebenen Hostname per A- oder AAAA Resource Record dar. PTR Resource Records sind ein zentrales Element des Reverse DNS. Sie werden üblicherweise ausschließlich verwendet in der in-addr.arpa-Zone (für den Reverse-Lookup von IPv4-Adressen), in der Zone ip6.arpa (für den Reverse-Lookup von IPv6-Adressen)[1] sowie in anderen Zonen für Hostnames, auf die ein CNAME Resource Record aus einer der vorgenannten Zonen zeigt.
MX	Der MX Resource Record (MX-RR) einer Domain ist ein Eintrag im Domain Name System, der sich ausschließlich auf den Dienst E-Mail (SMTP) bezieht. Ein MX-Record sagt aus, unter welchem Fully Qualified Domain Name (FQDN) der Mail-Server zu einer Domäne oder Subdomäne erreichbar ist. Es ist üblich, für eine Domäne mehrere MX-Records zu definieren mit unterschiedlichen Prioritäten, so dass bei Ausfall eines Mail-Servers ein anderer die E-Mails entgegennehmen kann. Dies erhöht die Wahrscheinlichkeit, dass eine Mail trotzdem an die Empfängerdomain zugestellt werden kann.
CNAME	Ein CNAME Resource Record (CNAME RR) ist im Domain Name System dazu vorgesehen, einer Domänen einen weiteren Namen zuzuordnen. Die Abkürzung "CNAME" steht für canonical name (canonical = anerkannt, bezeichnet also den primären, quasi echten Namen). Im einfachsten Fall verweist der Name eines CNAME Resource Records auf den Namen eines A Resource Records und/oder eines AAAA Resource Records. Die Namen dieser Resource Records verweisen auf eine IP-Adresse. Beim Wechsel einer IP-Adresse muss dann für mehrere Namen nur ein einziger Resource Record geändert werden. Ein NS Resource Record, MX Resource Record oder PTR Resource Record darf nicht auf einen CNAME Resource Record verweisen. Umgekehrt darf ein PTR Resource Record aber durchaus nur über einen CNAME Resource Record zugänglich sein. Der Name eines CNAME Resource Records darf nicht als Name anderer Resource Records verwendet werden, da er stellvertretend für alle Resource Records des Ziels steht.

Wert:

192.168.222.2

IP des Servers, auf den die Domain verweisen soll

Schließt den Dialog für den DNS-Record

Schließt den Dialog zum Bearbeiten der Zone

A-RR testen

Testen des angelegten A-RR unter: Bereich Host

Einstellungen

Abfragetyp

Abfragetyp des Angelegten DNS-Records

Hostname:

webserver.anyideas.de

Webserver-Adresse wie im Record-Eintrag unter Name eingetragen (mit oder ohne den abschließenden Punkt)

Nameserver:

127.0.0.1

Localhost-Adresse der UTM

Antwort

Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, die Domain auf die korrekte IP-Adresse aufgelöst.

Alternatives Testen durch ein nslookup webserver.anyideas.de von einem Rechner aus dem Netzwerk der UTM

Reverse-Zone

Reverse DNS lookup (rDNS) bezeichnet eine DNS-Anfrage, bei der zu einer IP-Adresse der Name ermittelt werden soll

Als RR-Typen sind nur PTR Resource Records zulässig
Bei einem PTR-RR steht eine IP-Adresse als Anfragebasis und ein Name als Ergebnis – im Gegensatz zum A Resource Record, wo ein Name die Anfrage und eine IP-Adresse das Ergebnis darstellt.

Genutzt wird ein rDNS lookup häufig im Zusammenhang mit Spamfiltern.
Viele Spam-Mails werden von Fake-Domänen versendet.
Der Empfänger kann anhand einer Rückauflösung der IP festzustellen ob die Domain auch wirklich zu der ankommenden IP gehört, ist dies nicht der Fall wird die Mail abgewiesen.

PTR-RR anlegen

Im nächsten Schritt wird der PTR-RR angelegt.

Zum Verständnis hier eine kurze Beschreibung:

Da es extrem zeitaufwändig wäre, bei einer inversen Anfrage den gesamten Domänen-Baum nach der gewünschten IPv4-Adresse zu durchsuchen wurde eine eigenständige Domäne für inverse Zugriffe gebildet, die in-addr.arpa-Domäne. Unterhalb dieser Domäne existieren lediglich drei Subdomänen-Ebenen, so dass maximal drei Schritte zur Auflösung einer IPv4-Adresse erforderlich sind.
Die unmittelbaren Subdomänen von in-addr.arpa haben als Label eine Zahl zwischen 0 und 255 und repräsentieren die erste Komponente einer IPv4-Adresse. (Beispiel: 64.in-addr.arpa oder 192.in-addr.arpa).

Die nächste Ebene im Baum repräsentiert die zweite Komponente einer IPv4-Adresse (Beispiel: 27.64.in-addr.arpa. enthält die IPv4-Adressen 64.27.x.y) und die unterste Ebene schließlich die dritte Komponente (Beispiel: 125.27.64.in-addr.arpa enthält alle bekannten IPv4-Adressen des Netzes 64.27.125.0/24 – also z. B. 64.27.125.60).

Wie aus den Beispielen ersichtlich ist, enthält ein reverser Name die IP-Adresskomponenten in umgekehrter Reihenfolge. Diese Struktur ermöglicht ein Verfeinern des reversen Adressraums in mehreren Schritten. In unserem folgenden Einrichtungsbeispiel werden wir mit dem letzten Adressraum (/24) arbeiten.

Gehen Sie in der Navigationsleiste auf den Punkt Anwendungen und klicken sie im Dropdown-Menü auf Nameserver.
Klicken Sie im erscheinenden Dialog auf den Button Reverse-Zone hinzufügen.
Tragen Sie im Step 1 das gewünschte Subnetz ein, indem sich die IP-Adresse zu der gewünschten Domain befindet.
Tragen Sie im Step 2 unter Nameserver "localhost" ein und klicken sie auf Fertig.

Der Zonenname bildet sich automatisch wie im oberen Beispiel beschrieben.

Bearbeiten Sie durch einen Klick auf den Schraubenschlüssel die angelegte Zone.
Klicken Sie im erscheinenden Dialog auf den Button Eintrag hinzufügen.
Tragen Sie in das Feld "Name", die letzte Zahl der Host-IP ein, die zu der gewünschten Domain gehört (In unserem Beispiel die "60".)
Als Typ wählen Sie "PTR".
In das Feld Wert tragen Sie die Domain ein auf die die IP-Adresse zeigen soll. An die Domain wird ein Punkt "." angehängt!
Klicken Sie auf Hinzufügen.
Klicken Sie auf Speichern.

Anwendungen Nameserver Bereich Zonen Schaltfläche Reverse-Zone hinzufügen

Schritt 1

Das gewünschte Subnetz, indem sich die IP-Adresse zu der gewünschten Domain befindet

Schritt 2

Nameserver ist der localhost, also die UTM selbst
Abschluss des Assistenten mit der Schaltfläche Fertig

Den neu angelegten Eintrag Bearbeiten und einen Eintrag hinzufügen

Beschriftung

Wert

Beschreibung

PTR-RR Eintrag hinzufügen

Name:

60

Der letzte Zahlblock der Host-IP, die zu der gewünschten Domain gehört (Im Beispiel die 60)

Typ:

PTR (Pointer)-Record

Typ	Beschreibung
NS	Ein NS-Record (bzw. NS-RR: Name Server Resource Record) ist ein Datensatz eines DNS Servers und kann zwei unterschiedliche Funktionen erfüllen: Er definiert, welche Nameserver für diese Zone offiziell zuständig sind. Er verkettet Zonen zu einem Zonen-Baum (Delegation). In jedem Zonenfile muss mindestens ein NS-RR vorhanden sein, der angibt, welcher Nameserver für diese Zone autoritativ ist. Ist zum Bsp. die Firewall selbst zuständig muss hier "localhost" ausgewählt/eingegeben werden.
A	Mit einem A-RR (A Resource Record) wird einem DNS-Namen eine IPv4-Adresse zugeordnet.
AAAA	Mit einem AAAA Resource Record („quad-A“) wird einem DNS-Namen eine IPv6-Adresse zugeordnet. Es handelt sich damit um die IPv6-Entsprechung zum A Resource Record.
TXT	Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden. TXT Records können unter anderem zum Tunneln über DNS eingesetzt werden.
PTR	PTR Resource Records ordnen im Domain Name System einer gegebenen IP-Adresse einen oder mehrere Hostname(n) zu. Sie stellen damit gewissermaßen das Gegenstück zur klassischen Zuordnung einer oder mehrerer IP-Adresse(n) zu einem gegebenen Hostname per A- oder AAAA Resource Record dar. PTR Resource Records sind ein zentrales Element des Reverse DNS. Sie werden üblicherweise ausschließlich verwendet in der in-addr.arpa-Zone (für den Reverse-Lookup von IPv4-Adressen), in der Zone ip6.arpa (für den Reverse-Lookup von IPv6-Adressen)[1] sowie in anderen Zonen für Hostnames, auf die ein CNAME Resource Record aus einer der vorgenannten Zonen zeigt.
MX	Der MX Resource Record (MX-RR) einer Domain ist ein Eintrag im Domain Name System, der sich ausschließlich auf den Dienst E-Mail (SMTP) bezieht. Ein MX-Record sagt aus, unter welchem Fully Qualified Domain Name (FQDN) der Mail-Server zu einer Domäne oder Subdomäne erreichbar ist. Es ist üblich, für eine Domäne mehrere MX-Records zu definieren mit unterschiedlichen Prioritäten, so dass bei Ausfall eines Mail-Servers ein anderer die E-Mails entgegennehmen kann. Dies erhöht die Wahrscheinlichkeit, dass eine Mail trotzdem an die Empfängerdomain zugestellt werden kann.
CNAME	Ein CNAME Resource Record (CNAME RR) ist im Domain Name System dazu vorgesehen, einer Domänen einen weiteren Namen zuzuordnen. Die Abkürzung "CNAME" steht für canonical name (canonical = anerkannt, bezeichnet also den primären, quasi echten Namen). Im einfachsten Fall verweist der Name eines CNAME Resource Records auf den Namen eines A Resource Records und/oder eines AAAA Resource Records. Die Namen dieser Resource Records verweisen auf eine IP-Adresse. Beim Wechsel einer IP-Adresse muss dann für mehrere Namen nur ein einziger Resource Record geändert werden. Ein NS Resource Record, MX Resource Record oder PTR Resource Record darf nicht auf einen CNAME Resource Record verweisen. Umgekehrt darf ein PTR Resource Record aber durchaus nur über einen CNAME Resource Record zugänglich sein. Der Name eines CNAME Resource Records darf nicht als Name anderer Resource Records verwendet werden, da er stellvertretend für alle Resource Records des Ziels steht.

Wert:

mail.anyideas.de.

Die Domain, auf die die IP-Adresse zeigen soll

An die Domain wird ein Punkt "." gehängt (=Top-Level)

Schließt den Dialog für den DNS-Record

Schließt den Dialog zum Bearbeiten der Zone

Das Anlegen des PTR-RR ist damit abgeschlossen und die Firewall setzt auf Anfrage die IP auf die gewünschte Domain um!

PTR-RR testen

Testen des angelegten PTR-RR unter: Bereich Host

Einstellungen

Abfragetyp

Abfragetyp des Angelegten DNS-Records

Hostname:

192.168.222.60

IP-Adresse des gewünschten Servers

Nameserver:

127.0.0.1

Localhost-Adresse der UTM

Antwort

Im unteren Fenster wird, wenn alles richtig eingerichtet wurde, die IP-Adresse auf die korrekte Domain aufgelöst.

Alternativ durch ein nslookup 192.168.222.60 von einem Rechner aus dem Netzwerk der UTM

Relay-Zone

Eine Relay-Zone ist für das Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören zuständig.
Anwendungsbeispiel:

Die Firewall wird im internen Netz von allen Clients als Nameserver verwendet
Zusätzlich ist im internen Netz ein Nameserver integriert der für die interne Domänenverwaltung (anyideas.local)zuständig ist
Möchte nun ein Client einen internen Namen auflösen (z.B.: uma.anyideas.local) wird diese DNS-Anfrage an die Firewall gestellt
Durch eine Weiterleitung aller Anfragen auf anyideas.local an den internen Nameserver können diese ohne Probleme von selbigem aufgelöst werden

Anfragen die nicht zur internen Domain gehören, löst die Firewall weiterhin selbst auf

Relay anlegen

Bereich Zonen Schaltfläche Relay-Zone hinzufügen

Beschriftung

Wert

Beschreibung

UTM v12.6 Nameserver Relayzone hinzufuegen.png

Zonenname:

anyideas.local

Domain, die von einem internen DNS-Server verwaltet wird

Typ

Zonentyp ist Relay

Server
Server hinzufügen

IP-Adresse:

192.168.222.5

IP-Adresse (IPv4 oder IPv6) des internen DNS-Servers

UTM v12.6 Nameserver Relayzone Server hinzufuegen.png

Port:

53

Default: 53 für DNS-Anfragen

Speichert die Angaben und schließt den Dialog

Nameserver mit Relay-Zonen für IPv4 und IPv6

DNS Forwarding

Ein DNS Forwarding wird dazu verwendet, um alle DNS Anfragen, die an den Nameserver der Firewall gestellt werden, an eine andere IP weiterzuleiten.

DNS Forwarding hinzufügen

Menü Anwendungen Nameserver Bereich DNS Forwarding Schaltfläche + DNS Forwarding hinzufügen

Beschriftung	Wert	Beschreibung	DNS Forwarding hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Anlegen eines DNS Forwarding
IP-Adresse:	192.168.175.2	Klick auf Server hinzufügen und im Feld IP-Adresse wird die Adresse des entfernten Nameservers eingetragen Den Eintrag bearbeiten Den Eintrag löschen
		Speichert den Eintrag

Domain Forwarding durch einen VPN-Tunnel

Teilweise ist es nötig, interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem VPN befindet.

Hier ist zu beachten, daß standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird jedoch nicht in einen VPN-Tunnel geroutet.

Nameserver der Firewall festlegen

Beschriftung	Wert	Beschreibung	Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk Nameserver IP
Nameserver vor lokalem Cache prüfen:	Ja	Sollte aktiviert sein
Primärer Nameserver:	127.0.0.1	Die IP der UTM selbst (localhost=127.0.0.1)
Sekundärer Nameserver:		Kann leer bleiben oder einen weiteren DNS im VPN bezeichnen
		Speichert den Eintrag

Relay anlegen

notempty

Für dieses Beispiel wurde eine IPSec-Verbindung genutzt. Für SSL-VPN erfolgt die Einrichtung auf die gleiche Art und Weise.

Menü Menü Anwendungen Nameserver Bereich Zonen Schaltfläche + Relay-Zone hinzufügen.

Beschriftung	Wert	Beschreibung	Relay-Zone hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Anlegen der Relay-Zone
Zonenname:	relay.test.local	Zonenname der gewünschten Domain
Typ:	Relay	Diesen Typ auswählen
IP-Adresse:	192.168.8.5	Klick auf Server hinzufügen und im Feld IP-Adresse wird die Adresse des entfernten Nameservers eingetragen Den Eintrag bearbeiten Den Eintrag löschen
		Speichert den Eintrag

Netzwerkobjekt anlegen

Menü Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen. Für das IPSec Netzwerk muss ein Netzwerkobjekt angelegt werden.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekt Netzwerkobjekt
Name:	IPSec-Netzwerk	Eindeutigen Namen wählen
Typ:	VPN-Netzwerk	Diesen Typ auswählen
Adresse:	192.168.8.0/24	Die IP-Adresse entspricht der des IPSec Netzwerkes
Zone:	vpn-ipsec	Passende Zone muss ausgewählt werden
		Speichert den Eintrag

Regeln hinzufügen

Im letzten Schritt muss eine Firewall-regel, mit einem Hide-NAT angelegt werden. Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.
Menü Firewall Paketfilter Schaltfläche + Regel hinzufügen.

Beschriftung	Wert	Regeln hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
Aktiv:	Ein
Quelle:	external-interface
Ziel:	IPSec-Netzwerk
Dienst:	domain-udp
[-] NAT
Typ:	HIDENAT
Netzwerkobjekt:	internal-interface
	Speichert die Regel und schließt den Dialog. Anschließend müssen die Regeln noch aktualisiert werden.

Safe Search bei externem DHCP Server

Wenn ein externer DHCP-Server verwendet wird, funktioniert der aktive Webfilter Safe Search bei Suchmaschinen, speziell bei Google, bei der Bildersuche oft nicht.
Damit dieser Webfilter auch da greift, müssen folgende Forward-Zonen für alle ccTLDs (siehe https://www.google.com/supported_domains : www.google.de, www.google.ch, ...) eingerichtet werden.
Menü Anwendungen Nameserver Schaltfläche + Forward-Zone hinzufügen.

Beschriftung	Wert	Zone bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenNameserver Die eingerichtete Forward-Zone für www.google.com
Zonenname:	www.google.com
Nameserver Hostname:	localhost
Nameserver IP-Adresse:
Im Fenster Nameserver in der Zone www.google.de auf klicken. Im Fenster Zone bearbeiten auf Eintrag hinzufügen klicken.
Name:	www.google.com
Typ:	A
Wert:	216.239.38.120
Speichern und nochmal auf Eintrag hinzufügen klicken.
Name:	www.google.com
Typ:	AAAA
Wert:	2001:4860:4802:32::78
	Speichert den Eintrag

DNS Rebinding Attacke und Prevention

Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.

Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

Der Angriff erfolgt in mehreren Schritten:
1. Das Opfer wird auf eine präparierte Website gelockt, deren IP-Adresse nur für wenige Sekunden als gültig markiert ist.
2. Auf der Website wird Schadcode geladen, der nach Ablauf der Gültigkeit der IP-Adresse einen erneuten Aufruf startet,
3. der nun aber durch einen modifizierten, eigenen DNS-Server eine Adresse aus dem lokalen Netzwerk des Opfers als Ziel ausgibt
4. Der Angreifer hat nun durch seinen Schadcode (z.B. Java-Script) Zugriff auf den Host mit der internen IP

DNS Rebinding Prevention verhindert, daß interne IP-Adressen aus dem lokalen Netzwerk als Antwort auf eine DNS-Anfrage ausgegeben werden.

Konfiguration

DNS Rebinding Prevention wird unter Anwendungen Nameserver Bereich DNS Rebinding Prevention konfiguriert.

Beschriftung	Wert	Beschreibung	Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen Reiter DNS Rebinding Prevention
DNS Rebinding Prevention:	Ein default	Aktiviert die DNS Rebinding Prevention
Modus:	Automatisch	In den Werkseinstellungen werden alle private IP-Adressen (Klasse A,B und C) geblockt. Auch die entsprechenden privaten IPv6-Adressen und die Unique Local Unicast-Adresse wird im automatischen Modus geschützt.
Modus:	Benutzerdefiniert	Die Adressen können manuell eingestellt werden.
Geschützte Adressen:		Hier werden alle Adressen angezeigt, die durch die Prevention geschützt werden.
		Speichert die Einstellungen
'

mDNS-Repeater

Anwendungen Nameserver Bereich mDns-Repeater
Der Multicast-DNS-Repeater leitet mDNS-Anfragen zwischen Schnittstellen und Netzwerken weiter, ohne daß hierfür ein extra DNS-Server konfiguriert werden muss.
Multicast-fähige Geräte, wie bspw. Drucker können hiermit z.B. über verschiedene Netze hinweg auffindbar gemacht werden.

Der mDNS-Repeater verwendet ausschließlich Port 5353 als Quell- und Zielport!

Beschriftung	Wert	Beschreibung	Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen mDNS-Repeater Konfiguration
mDNS-Repeater aktivieren:	Ja	Aktiviert den Multicast DNS-Repeater
		Der mDNS-Repeater ist aktiv
		Der mDNS-Repeater ist deaktiviert
Schnittstellen:	LAN1 LAN2	Auswahl der Schnittstellen, zwischen denen mDNS-Anfragen weiter geleitet werden sollen. Es müssen mindestens zwei Schnittstellen eingetragen werden.
Standardverhalten für Netzwerke:	default	Alle Netzwerke, die an den Schnittstellen anliegen verwenden den mDNS-Repeater
Blockierte Netzwerk-Ausnahmen:		Netzwerke, aus denen mDNS Anfragen nicht weiter geleitet werden
Erlaubte Netzwerk-Ausnahmen: Nur bei deaktiviertem Standardverhalten für alle Netzwerke		Explizite Angabe der Netzwerke, aus denen mDNS Anfragen weiter geleitet werden

Allgemeine Einstellungen
Allgemeine Einstellungen werden unter Anwendungen Nameserver Bereich Allgemein vorgenommen.
Beschriftung	Wert	Beschreibung	Nameserver UTMbenutzer@firewall.name.fqdnAnwendungen Reiter Allgemein
DNSSEC Überprüfung im Resolver:	Aus	notempty Achtung! Wird die DNSSEC Überprüfung in Verbindung mit Foward-Zonen verwendet, müssen die Domains zu den Zonen im globalen DNS validierbar sein. Antworten zu nicht global registrierten Domains werden zurückgewiesen. Dies führt dazu, dass Anfragen zu dieser Domain mit SERVFAIL beantwortet werden. Bei Aktivierung dieser Funktion werden ausnahmslos alle DNS-Einträge mit DNSSEC aufgelöst. Damit würde auch bei lediglich lokalen Adressen eine Validierung in der DNS-Hierarchie versucht. Aufgrund der fehlenden Eindeutigkeit der lokalen Adresse kann diese aber nicht bei übergeordneten DNS-Servern registriert werden. Es kommt zu einer Fehlermeldung, die Adresse wird nicht aufgelöst und die Zone ist damit (unter Verwendung von DNS) nicht erreichbar. Dies betrifft zum Beispiel .local - Domänen! Weitere Hinweise zur Umsetzung von DNSSEC finden sich hier.
DNS Anfragen nur aus gerouteten und VPN-Netzwerken erlauben:	Ein Default	Per Default werden nur DNS-Anfragen aus folgenden Quellen beantwortet: localhost lokale Netze Netze die über ein anderes Gateway geroutet werden, aber keine default Route (oder geteilte default Route) enthalten VPN Transfernetze bzw. Roadwarrior Adress-Pools
	Aus	Sollen auch von anderen externen Netzen DNS-Anfragen beantwortet werden, muss diese Option deaktiviert werden
EDNS für folgende Server deaktivieren:		Für Server, die RFC 6891 nicht erfüllen, kann EDNS deaktiviert werden. Alte, oder falsch konfigurierte Nameserver, verwenden teilweise kein bzw. kein korrektes Extended DNS und akzeptieren in der Folge keine DNS-Abfragen, die diese Protokoll-Erweiterungen verwenden. EDNS ist bei DNSSEC zwingend notwendig Das DO-Flag (DNSSEC OK) kann nicht mehr im Standard-Header untergebracht werden .
notempty Neu ab v12.6.0 DNS-Server des Providers verwenden:	Aus	Bei Aktivierung wird der DNS-Server des Internetproviders verwendet.

@@ Zeile 9: / Zeile 9: @@
 </div><div class="new_design"></div>{{TOC2|limit=2}}{{Select_lang}}
-{{Header|12.6.|
+{{Header|12.6.1|
 * {{#var:neu--mDNS Repeater}}
+* {{#var:neu--rwi}}
 |[[UTM/APP/Nameserver_v12.2.2 | v12.2.2]]
 [[UTM/APP/Nameserver_v11.6 | v11.6]]
 |{{Menu-UTM|{{#var:Anwendungen}}|Nameserver}}
-|zuletzt=12.6.1}}
+}}
 ----
-=== {{#var:Einleitung}} ===
-<div class="Einrücken">
-{{#var:Einleitung--desc}}
-<li class="list--element__alert list--element__hint">{{#var:Regeln für DNS auf Interface}}</li>
-</div>
-<br clear=all>
+{{:UTM/APP/Nameserver-Zonen}}
 ----
-=== {{#var:Voraussetzungen}} ===
-<div class="einrücken">
-==== {{#var:Nameserver der Firewall festlegen}} ====
-{{f| eher: § Firewall als Nameserver festlegen ?? }}
-<div class="Einrücken">
-{{Bild| {{#var:Nameserver der Firewall festlegen--Bild}}|{{#var:Nameserver der Firewall festlegen--cap}}||{{#var:Servereinstellungen}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}}
-{{#var:Nameserver der Firewall festlegen--desc}}
-<li class="list--element__alert list--element__hint">{{#var:Nameserver--Hinweis}}</li>
-</div>
-</div>
-<br clear=all>
+{{:UTM/APP/Nameserver-DNS_Forwarding}}
 ----
-=== {{#var:Zonen}} ===
-<div class="einrücken">
-==== {{#var:Forward-Zone}} ====
-<div class="Einrücken">
-{{#var:Forward-Zone--desc}}
-===== {{#var:A-RR anlegen}} =====
+{{:UTM/APP/Nameserver-DNS_Rebinding_Prevention}}
-<div class="Einrücken">
+----
-{{Gallery3
-	| {{#var:Zonenname--Bild}} | {{b|{{#var:Zonenname}}:}} {{ic|webserver.anyideas.de}}<br> {{#var:Zonenname--desc}}
-	| Abb1={{#var:Schritt}} 1
-	| Abb1-header={{Dialog-header|{{#var:Forward-Zone hinzufügen}}|{{#var:Anwendungen}}|Nameserver|icon=fa-close}}
-	| {{#var:Nameserver Hostname--Bild}} | {{b|{{#var:Nameserver Hostname}}:}} {{ic|localhost}}<br> {{#var:Nameserver Hostname--desc}}
-	| Abb2={{#var:Schritt}} 2
-	| Abb2-header={{Dialog-header|{{#var:Forward-Zone hinzufügen}}|{{#var:Anwendungen}}|Nameserver|icon=fa-close}}
-	| {{#var:IP-Adresse--Bild}} | {{b|{{#var:IP-Adresse}}:}} {{ic||class=mw6}} {{#var:IP-Adresse--Hinweis}} {{#var:IP-Adresse--desc}}
-	| Abb3={{#var:Schritt}} 3
-	| Abb3-header={{Dialog-header|{{#var:Forward-Zone hinzufügen}}|{{#var:Anwendungen}}|Nameserver|icon=fa-close}}
-|i=3}}
-{| class="sptable2 pd5 zh1"
-|-
-! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="3" | {{Bild| {{#var:Nameserver Zone--Bild}} |{{#var:Nameserver Zone--cap}}||Nameserver|{{#var:Anwendungen}}|icon=fa-save}}
-|-
-| colspan="2" | {{Button| |W}} <span class=Hover>{{#var:Bearbeiten}}</span> || {{#var:Nameserver Zone--desc}}
-|- class="Leerzeile"
-|
-|- class="Leerzeile"
-| colspan="3" | {{Kasten|{{#var:Einstellungen}} }}
-|-
-| {{b|{{#var:Typ}}:}} || {{Button|Normal|dr|class=available}} || {{#var:Einstellungen--Typ--desc}}
-| class="Bild" rowspan="10" | {{Bild| {{#var:Zone bearbeiten--Bild}}|{{#var:Zone bearbeiten}}||{{#var:Zone bearbeiten}}|{{#var:Anwendungen}}|Nameserver|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
-|-
-| {{b|{{#var:Aktualisierung}} }} || {{ic|10000|c|class=mw8}} {{#var:Sekunden}} || {{#var:Aktualisierung--desc}}
-|-
-| {{b|Retry:}} || {{ic|1800|c|class=mw8}} {{#var:Sekunden}} || {{#var:Retry--desc}}
-|-
-| {{b|{{#var:Läuft ab}}:}} || {{ic|3600000|c|class=mw8}} {{#var:Sekunden}} || {{#var:Läuft ab--desc}}
-|-
-| {{b|{{#var:Minimum}} }} || {{ic|3600|c|class=mw8}} {{#var:Sekunden}} ||{{#var:Minimum--desc}}
-|- class="noborder"
-| colspan="3" | {{Kasten|{{#var:Einträge}} |grau}}
-|-
-| {{ic|{{#var:Typ}}|rechts|icon={{spc|sort|o|-}} | class=bc__default mw6 |iconborder=none}} {{ic|NS|tr-odd}} || {{ic|localhost'''.'''|tr-odd}} || {{#var:Localhost--desc}}
-|-
-| colspan="2" | {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> || {{#var:Bearbeiten--desc}}
-|-
-| colspan="2" | {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || {{#var:Löschen--desc}}
-|- class="Leerzeile"
-|
-|- class="Leerzeile"
-| colspan="2" | {{Button|{{#var:Eintrag hinzufügen}}|+}} || {{#var:Eintrag hinzufügen--desc}}
-|-
-| {{b|Name:}} || {{ic|webserver.anyideas.de'''.'''}} || {{#var:Name--desc}}<li class="list--element__alert list--element__warning">{{#var:Name--Hinweis}}</li>
-| class="Bild" rowspan="5" | {{Bild| {{#var:Eintrag hinzufügen--Bild}} |{{#var:Eintrag hinzufügen}}||{{#var:Eintrag hinzufügen}}|{{#var:Anwendungen}}|Nameserver|{{#var:Zone bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
-|-
-| {{b|{{#var:Typ}}:}} || {{Button|A|dr|class=mw6}} || {{#var:Hinzufügen--Typ--desc}}
-|-
-| colspan="3" | {{Einblenden| {{#var:Record-Typen anzeigen}} | {{#var:hide}} |true|dezent}}{{:UTM/APP/Nameserver-Recordtypen}}</div></span>
-|-
-| {{b|{{#var:Wert}}:}} || {{ic|192.168.222.2}} || {{#var:Wert--desc}}
-|- class="Leerzeile"
-| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Record--Speichern--desc}}
-|- class="Leerzeile"
-| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Zone--Speichern--desc}}
-|- class="Leerzeile"
-|
-|}
-</div>
-===== {{#var:A-RR testen}} =====
-{| class="sptable2 pd5 zh1 einrücken"
-|- class="noborder"
-| colspan="3" | {{#var:A-RR testen--desc}} <br>{{Kasten|{{#var:Einstellungen}} }}
-| class="Bild" rowspan="7" | {{Bild| {{#var:A-RR testen--Bild}} |{{#var:A-RR testen--cap}}||{{#var:Netzwerkwerkzeuge}}|{{#var:Netzwerk}} }}
-|-
-| {{b|{{#var:Abfragetyp}}:}} || {{Button|A|dr|class=mw11}} || {{#var:Abfragetyp--desc}}
-|-
-| {{b|Hostname:}} || {{ic|webserver.anyideas.de|class=mw11}} || {{#var:Hostname--desc}}
-|-
-| {{b|Nameserver:}} || {{ic|127.0.0.1|class=mw11}} || {{#var:Nameserver--desc}}
-|- class="noborder"
-| colspan="3" | {{Kasten|{{#var:Antwort}} }}
-|-
-| colspan="3" | {{#var:A-RR testen--fertig2}}
-|- class="Leerzeile"
-|
-|}
-</div>
-==== Reverse-Zone ====
+{{:UTM/APP/mDNS-Repeater}}
-<div class="Einrücken">
+----
-{{#var:Reverse-Zone--desc}}
-===== {{#var:PTR-RR anlegen}} =====
-<div class="Einrücken">
-{{Einblenden2| {{#var:PTR-RR anlegen--Hinweise}} | {{#var:hide}} |dezent|true|{{#var:PTR-RR anlegen--desc}} }}
-{{Menu-UTM|{{#var:Anwendungen}}|Nameserver|{{#var:Zonen}}|+ {{#var:Reverse-Zone hinzufügen}} }}
-{{Gallery3	| {{#var:PTR-RR anlegen Schritt 1--Bild}} | {{#var:PTR-RR anlegen Schritt 1--desc}}
-			| Abb1={{#var:Schritt}} 1
-			| Abb1-header={{Dialog-header|{{#var:Reverse-Zone hinzufügen}}|{{#var:Anwendungen}}|Nameserver}}
-			| {{#var:PTR-RR anlegen Schritt 2--Bild}} | {{#var:PTR-RR anlegen Schritt 2--desc}}<br>{{#var:Fertig--desc}}
-			| Abb2={{#var:Schritt}} 2
-			| Abb2-header={{Dialog-header|{{#var:Reverse-Zone hinzufügen}}|{{#var:Anwendungen}}|Nameserver}}
-|i=3}}
-<!--
-{{#var:PTR-RR Eintrag hinzufügen--desc}} || class="Bild" rowspan="1" | {{Bild| {{#var:PTR-RR anlegen Eintrag hinzufügen--Bild}}|{{#var:PTR-RR Eintrag hinzufügen--cap}} }}
--->
-{{#var:PTR-RR Eintrag hinzufügen--desc}}
-</div><br clear=all>
-{| class="sptable2 pd5 zh1 Einrücken"
-! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan=6 | {{Bild| {{#var:PTR-RR Eintrag hinzufügen--Bild}} |{{#var:PTR-RR Eintrag hinzufügen--cap}}||{{#var:Eintrag hinzufügen}}|{{#var:Anwendungen}}|Nameserver|{{#var:Zone bearbeiten}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
-|-
-| {{b|Name:}} || {{ic|60}} || {{#var:PTR--Name--desc}}
-|-
-| {{b|{{#var:Typ}}:}} || {{Button|PTR|dr|class=mw6}} || PTR (Pointer)-Record
-|-
-| colspan="3" | {{Einblenden| {{#var:Record-Typen anzeigen}} | {{#var:hide}} |true|dezent}}{{:UTM/APP/Nameserver-Recordtypen}}</div></span>
-|-
-| {{b|{{#var:Wert}}:}} || {{ic|mail.anyideas.de'''.'''}} || {{#var:PTR--Wert--desc}} <li class="list--element__alert list--element__warning">{{#var:Name--Hinweis}}</li>
-|- class="Leerzeile"
-| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Record--Speichern--desc}}
-|- class="Leerzeile"
-| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Zone--Speichern--desc}}
-|- class="Leerzeile"
-| colspan="3" | {{#var:PTR-RR anlegen--fertig}}
-|- class="Leerzeile"
-| colspan=3 |
-===== {{#var:PTR-RR testen}} =====
-|- class="noborder"
-| colspan="3" | {{#var:PTR-RR testen--desc}} <br>{{Kasten|{{#var:Einstellungen}} }}
-| class="Bild" rowspan="7" | {{Bild| {{#var:PTR-RR testen--Bild}} |||{{#var:Netzwerkwerkzeuge}}|{{#var:Netzwerk}} }}
-|-
-| {{b|{{#var:Abfragetyp}}:}} || {{Button|PTR|dr|class=mw11}} || {{#var:Abfragetyp--desc}}
-|-
-| {{b|Hostname:}} || {{ic|192.168.222.60|class=mw11}} || {{#var:PTR--Hostname--desc}}
-|-
-| {{b|Nameserver:}} || {{ic|127.0.0.1|class=mw11}} || {{#var:Nameserver--desc}}
-|- class="noborder"
-| colspan="3" | {{Kasten|{{#var:Antwort}} }}
-|- class=noborder
-| colspan="3" | {{#var:PTR--Antwort--desc}}
-|- class="Leerzeile"
-|
-|}
-</div>
-==== {{#var:Relay-Zone}} ====
-<div class="Einrücken">
-{{#var:Relay-Zone--desc}}
-<li class="list--element__alert list--element__hint">{{#var:Relay-Zone--Hinweis--externe Domains}}</li>
-===== {{#var:Relay anlegen}} =====
-<div class="einrücken">
-{{Menu-UTM|{{#var:Anwendungen}}|Nameserver|{{#var:Zonen}}|+ {{#var:Relay-Zone hinzufügen}} }}
-{| class="sptable2 pd5 zh1"
-! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="4" | {{Bild| {{#var:Relay anlegen--Bild}}|{{#var:Relay anlegen--cap}}||{{#var:Relay-Zone hinzufügen}}|{{#var:Anwendungen}}|Nameserver|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
-|-
-| {{b|{{#var:Zonenname}}:}} || {{ic|anyideas.local|class=available}} || {{#var:Zonenname--desc}}
-|-
-| {{b|{{#var:Typ}}:}} || {{Button|Relay|dr|class=available}} || {{#var:Relay--Typ--desc}}
-|- class="Leerzeile"
-|
-|- class="Leerzeile"
-| colspan="3" | {{Kasten|Server|grau }} <br>{{Button|+ {{#var:Server hinzufügen}} }}
-|-
-| {{b|{{#var:IP-Adresse}}:}} || {{ic|192.168.222.5|class=available}} || {{#var:Server hinzufügen--IP-Adresse--desc}}
-| class="Bild" rowspan="4" | {{Bild| {{#var:Server hinzufügen--Bild}} |||{{#var:Server hinzufügen}}|{{#var:Anwendungen}}|Nameserver|{{#var:Relay-Zone hinzufügen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
-|-
-| {{b|Port:}} || {{ic|53|c|class=mw6}} || {{#var:Server hinzufügen--Port--desc}}
-|- class="Leerzeile"
-| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Server hinzufügen--Speichern--desc}}
-|- class="Leerzeile"
-|
-|- class="Leerzeile"
-| colspan="3" | {{#var:Relay anlegen--fertig}}
-| class="Bild" rowspan="2" | {{Bild| {{#var:Relay-Zone--Bild}} |{{#var:Relay-Zone--cap}}||Nameserver|{{#var:Anwendungen}}|icon=fa-save}}
-|- class="Leerzeile"
-|
-|- class="Leerzeile"
-| colspan=4 |
-|}
-</div>
-</div>
-</div>
+{{:UTM/APP/Nameserver-Allgemein}}
 ----
-=== {{#var:DNS Forwarding}} ===
-<div class="einrücken">
-{{#var:DNS Forwarding--desc}}
-==== {{#var:Forwarding anlegen}} ====
-{| class="sptable2 pd5 zh1 Einrücken"
-|- class="noborder"
-| colspan="3" | {{#var:Forwarding anlegen--Menu}}
-|-
-| {{b|{{#var:IP-Adresse}} }} || {{ic|192.168.222.5}} || {{#var:Forwarding anlegen--desc}}
-| class="Bild" rowspan="2" | {{Bild| {{#var:Forwarding anlegen--Bild}} |{{#var:Forwarding anlegen--cap}}||{{#var:DNS Forwarding hinzufügen}}|{{#var:Anwendungen}}|Nameserver|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
-|- class="Leerzeile"
-| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Server hinzufügen--Speichern--desc}}
-|- class="Leerzeile"
-| colspan="3" | {{#var:Forwarding anlegen--fertig}}
-| class="Bild" rowspan="2" | {{Bild| {{#var:Forwarding anlegen--fertig--Bild}} |{{#var:Forwarding anlegen--fertig--cap}}||Nameserver|{{#var:Anwendungen}}|icon=fa-save}}
-|- class="Leerzeile"
-|
-|- class="Leerzeile"
-| colspan=4 |
-|}
-==== {{#var:DNS-Server hinter IPSec-Tunnel}} ====
-<div class="einrücken">
-{{#var:DNS-Server hinter IPSec-Tunnel--desc}}
-<li class="list--element__alert list--element__warning">{{#var:DNS-Server hinter IPSec-Tunnel--Hinweis}}</li>
-<li class="list--element__alert list--element__hint">{{#var:DNS-Server hinter SSL-Tunnel--Hinweis}}</li>
-<li class="list--element__alert list--element__positiv">{{#var:Relay-Forwarding gleichermaßen}}</li>
-<br>
-{{#var:DNS-Server hinter IPSec-Tunnel--Kurzfassung}}
-{| class="sptable2 pd5 zh1 einrücken"
-|- class="Leerzeile"
-| colspan="3" |
-===== {{#var:Netzwerkobjekt hinzufügen}} =====
-{{#var:Netzwerkobjekt hinzufügen--Menu}}
-|-
-| {{b|Name:}} || {{ic|vpn-Netzwerk-DNS-Server|class=available}} || {{#var:Netzwerkobjekt Name--desc}}
-| class="Bild" rowspan="5" | {{Bild| {{#var:Netzwerkobjekt hinzufügen--Bild}} |{{#var:Netzwerkobjekt hinzufügen--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
-|-
-| {{b|{{#var:Typ}}:}} || {{Button| {{#var:Netzwerkobjekt Typ--val}}|dr|class=available}} || <li class="list--element__alert list--element__warning">{{#var:Netzwerkobjekt Typ--desc}}</li>
-|-
-| {{b|{{#var:Adresse}}:}} || {{ic|10.10.10.0/24|class=available}} || {{#var:Adresse--desc}}
-|-
-| {{b|{{#var:Zone}}:}} || {{Button|external|dr|class=available}} || {{#var:Zone--desc}}
-|- class="Leerzeile"
-|
-|- class="Leerzeile"
-| colspan="3" |
-===== {{#var:Paketfilter Regel anlegen}} =====
-{{#var:Paketfilter Regel anlegen--desc}}
-| class="Bild" rowspan="7" | {{Bild| {{#var:Paketfilter Regel anlegen--Bild}} |{{#var:Paketfilter Regel anlegen--cap}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
-|-
-| {{b|{{#var:Quelle}}:}} || {{ic|{{spc|interface|o|-}} external-interface|dr|class=available}} || {{#var:Quelle--desc}}
-|-
-| {{b|{{#var:Ziel}}:}} || {{ic|{{spc|net|o|-}} vpn-Netzwerk-DNS-Server|dr|class=available}} || {{#var:Ziel--desc}}
-|-
-| {{b|{{#var:Dienst}}:}} || {{ic|{{spc|dienste|o|-}} dns|dr|class=available}} || {{#var:Dienst--desc}} <li class="list--element__alert list--element__hint">{{#var:Dienst--Hinweis AD}}</li>
-|- class="noborder"
-| colspan="3" | {{Kasten|[-] NAT}}
-|-
-| {{b|{{#var:Typ}}:}} || {{Button|Hidenat|dr|class=available}} || {{#var:Hidenat--desc}}
-|-
-| {{b|{{#var:Netzwerkobjekt}}:}} || {{ic|external-interface|dr|class=available}} || {{#var:Netzwerkobjekt--desc}}
-|- class="Leerzeile"
-|
-|-
-| colspan="2" class="noborder" |
-| colspan="2" class="borderless end" |
-{| class="sptable2 spezial pd5 tr--bc__white zh1"
-|- class="bold small no1cell"
-| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
-|-
-| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}} || {{spc|drag|o|-}} || || {{spc|interface|o|external-interface}}  || {{spc|net|o|vpn-Netzwerk-DNS-Server}} || {{spc|dienste|o|-}} dns || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
-|}
-|- class="Leerzeile"
-| colspan="3" | {{#var:Regel erstellen--fertig}}
-|- class="Leerzeile"
-|
-|}
-</div>
-==== {{#var:DNS-Server hinter SSL-VPN-Tunnel}} ====
-<div class="einrücken">
-{{#var:DNS-Server hinter SSL-VPN-Tunnel--desc}}
-<li class="list--element__alert list--element__hint">{{#var:DNS-Server hinter SSL-VPN-Tunnel--Hinweis--mehrere Netze}}</li>
-{| class="sptable2 pd5 zh1 einrücken"
-|- class="Leerzeile"
-| colspan="3" | {{h5| 1={{#var:Netzwerkobjekt Gegenstelle hinzufügen}} | 2=<i class="host utm">UTM {{#var:Gegenstelle}}</i> {{#var:Netzwerkobjekt Gegenstelle hinzufügen}} }}
-{{#var:Netzwerkobjekt hinzufügen--Menu}}
-|-
-| {{b|Name:}} || {{ic|ssl-vpn-transfernetz|class=available}} || {{#var:Netzwerkobjekt Gegenstelle Name--desc}}
-| class="Bild" rowspan="9" | {{Bild| {{#var:Netzwerkobjekt Gegenstelle hinzufügen--Bild}} |{{#var:Netzwerkobjekt Gegenstelle hinzufügen--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
-|-
-| {{b|{{#var:Typ}}:}} || {{Button|{{#var:Netzwerkobjekt Gegenstelle Typ--val}}|dr|class=available}} ||  {{#var:Netzwerkobjekt Gegenstelle Typ--desc}}
-|-
-| {{b|{{#var:Adresse}} }} || {{ic|10.2.10.0/24 |class=available}} || {{#var:Adresse Gegenstelle--desc}} {{info|{{#var:Adresse Gegenstelle--info}} }}
-|-
-| {{b|{{#var:Zone}} }} || {{Button|ssl-vpn|dr|class=available}} || {{#var:Zone Gegenstelle--desc}}
-|- class="Leerzeile"
-|
-|- class="Leerzeile"
-| colspan="3" | {{h5| 1={{#var:Portfilter Regel anlegen Gegenstelle}} | 2=<i class="host utm">UTM {{#var:Gegenstelle}}</i> {{#var:Portfilter Regel anlegen Gegenstelle}} }}
-|-
-<!--
-| class="Bild" rowspan="7" | {{Bild| {{#var:Portfilter Regel anlegen--Bild}} |{{#var:Portfilter Regel anlegen--cap}} }}
-|-
--->
-| {{Kasten|{{#var:Quelle}}:}} || {{ic|{{spc|vpn-network|o|-}} vpn-network|dr|class=available}} || {{#var:SSL-VPN-Quelle--desc}}
-|-
-| {{Kasten|{{#var:Ziel}}:}} ||  {{ic|{{spc|host|o|-}} DNS-Server|dr|class=available}} || {{#var:SSL-VPN-Ziel--desc}}
-|-
-| {{Kasten|{{#var:Dienst}}:}} || {{ic|{{spc|dienste|o|-}} dns|dr|class=available}} || {{#var:Dienst--desc}}
-|- class="noborder"
-| {{Kasten|[+] NAT}}
-|-
-| {{Kasten|{{#var:Typ}}:}} || {{Button|None|dr}} || {{#var:SSL-VPN-NAT--desc}}
-|- class="Leerzeile"
-|
-|-
-| colspan="2" class="noborder" |
-| colspan="2" class="borderless end" | {{#var:Portfilter Regel im Netz des DNS-Servers--cap}}
-{| class="sptable2 spezial pd5 tr--bc__white zh1"
-|- class="bold small no1cell"
-| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
-|-
-| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}} || {{spc|drag|o|-}} || 5 || {{spc|vpn-network|o|vpn-network}}  || {{spc|host|o|DNS-Server}} || {{spc|dienste|o|-}} dns ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
-|}
-|- class="Leerzeile"
-| colspan="3" | {{#var:Regel SSL-VPN-Ziel--fertig}}
-|- class="Leerzeile"
-|
-|}
-</div>
-</div>
-{{:UTM/APP/mDNS-Repeater}}

Version vom 20. Februar 2024, 14:25 Uhr

Einleitung

Voraussetzungen

Firewall als Nameserver festlegen

Forward-Zone

A-RR anlegen

A-RR testen

Reverse-Zone

PTR-RR anlegen

PTR-RR testen

Relay-Zone

Relay anlegen

DNS Forwarding

DNS Forwarding hinzufügen

Domain Forwarding durch einen VPN-Tunnel

Nameserver der Firewall festlegen

Relay anlegen

Netzwerkobjekt anlegen

Regeln hinzufügen

Safe Search bei externem DHCP Server

DNS Rebinding Attacke und Prevention

Konfiguration

mDNS-Repeater

Allgemeine Einstellungen