Betreibt man OpenWrt beispielsweise hinter einem vorhandenem Router oder mit einem eigenen DNS-Server und nutzt (jenseits von OpenWrt) solche Dinge die DNS-Rewrite oder Split-DNS kann dies zu ungewollten Nebenwirkungen führen.
Als Beispiel dient ein Dienst, der im Internet mit seiner öffentlichen IP-Adresse angesprochen wird, aber im LAN mit der lokalen IP, klassisches Split-DNS. Löst man nun den FQDN auf erwartet man im LAN hinter dem OpenWrt die lokale IP-Adresse. In einem solchen Fall klappt das allerdings zunächst nicht, denn statt der lokalen IP-Adresse erscheint die Öffentliche oder auch gar keine.
Verantwortlich hierfür ist die DNS-Rebind Protection, eine Schutzfunktion die dafür sorgt, das DNS-Einträge nicht zu privaten IP-Adressen wie z.B. 192.168.0.21 aufgelöst werden. An und für sich eine sinnvolle Sache, aber nicht in jedem Szenario passend. Abhilfe schafft diese Funktion zu deaktivieren:
- Am Web-Interface von OpenWrt anmelden.
- Zu “Network – DHCP & DNS” wechseln.
- Auf die Registerkarte “Filter” klicken.
- Den Haken entfernen bei “Rebind protection”
- “Save & Apply” anklicken.
Die Änderung greift sofort, es ist kein Neustart notwendig.
Besser ist es allerdings, statt die Sicherheit insgesamt zu reduzieren, die entsprechenden Domains zuzulassen. Zu diesem Zweck die Rebind protection aktiviert lassen und stattdessen auf der gleichen Registerkarte bei “Domain whitelist” die Domains eintragen und die Änderung übernehmen.
Ob alles richtig funktioniert kann man unter “Network Diagnostics” mit “Nslookup” prüfen oder falls doch noch was klemmt im Protokoll unter “Status – System Log” nach Einträgen wie diesen Suchen:
Fri Feb 6 12:48:42 2026 daemon.warn dnsmasq[1]: possible DNS-rebind attack detected: <FQDN>
Wie hat Dir der Artikel gefallen ?
(1 Stimmen, durchschnittlich 5,00 von 5 Sternen)
Loading...
Du möchtest den Blog unterstützen ?
Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 15 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Schreibe einen Kommentar