Fritz en RFC1918 adressen

Discussion:

(te oud om op te antwoorden)

Richard Lucassen

2019-11-16 21:11:48 UTC

Ik moet van de week een device achter een FBox neerzetten en dat ding
luistert naar een DNS naam die op het internet staat maar een RFC1918
adres geeft (192.168.178.X). Ik heb vorige keer gemerkt dat de DNS in
de FBox geen RFC1918 adressen vanaf het internet toestaat. Is dat uit
te zetten? Ik heb zelf niet zo'n ding dus ik kan niet zoeken.

R.

--
Richard Lucassen
http://contact.xaq.nl/

Julius Schwartzenberg

2019-11-16 21:25:23 UTC

Permalink

Post by Richard Lucassen
Ik moet van de week een device achter een FBox neerzetten en dat ding
luistert naar een DNS naam die op het internet staat maar een RFC1918
adres geeft (192.168.178.X). Ik heb vorige keer gemerkt dat de DNS in
de FBox geen RFC1918 adressen vanaf het internet toestaat. Is dat uit
te zetten? Ik heb zelf niet zo'n ding dus ik kan niet zoeken.

Als je aan de Fritzbox kan zitten kan je dit in ieder geval met Freetz
regelen. Die kan de AVM daemon op een andere port zetten en dan kan je
BIND of dnsmasq op de Fritzbox draaien.

Miquel van Smoorenburg

2019-11-16 21:39:07 UTC

Permalink

Dat heet "DNS rebind protection". Het is bescherming tegen iets dat
de "DNS rebinding attack" heet. Het punt is dat scripts (javascript,
dus) op een webpagina zoals "evilhacker.com" mogen connecten naar alle
sites binnen evilhacker.com. Dus, een DNS record met
"fb.evilhacker.com A 192.168.178.1" zorgt ervoor dat scripts op
evilhacker.com, die dus draaien vanuit jouw browser binnen je thuisnetwerk,
kunnen connecten naar fb.evilhacker.com en dat is ... je fritzbox. Of,
met een ander adres, een willekeurig ander device in je huis, je
smart-tv ofzo.

Je kan bepaalde hosts whitelisten in de fritzbox waardoor ze wel
IP adressen binnen je thuisnetwerk kunnen hebben.

In de FB webinterface:
Home network -> Network -> Network settings -> DNS rebind protection.

Mike.

Richard Lucassen

2019-11-16 23:08:42 UTC

Permalink

On 16 Nov 2019 21:39:07 GMT

Post by Miquel van Smoorenburg
Dat heet "DNS rebind protection". Het is bescherming tegen iets dat
de "DNS rebinding attack" heet. Het punt is dat scripts (javascript,
dus) op een webpagina zoals "evilhacker.com" mogen connecten naar alle
sites binnen evilhacker.com. Dus, een DNS record met
"fb.evilhacker.com A 192.168.178.1" zorgt ervoor dat scripts op
evilhacker.com, die dus draaien vanuit jouw browser binnen je
thuisnetwerk, kunnen connecten naar fb.evilhacker.com en dat is ...
je fritzbox. Of, met een ander adres, een willekeurig ander device in
je huis, je smart-tv ofzo.
Je kan bepaalde hosts whitelisten in de fritzbox waardoor ze wel
IP adressen binnen je thuisnetwerk kunnen hebben.
Home network -> Network -> Network settings -> DNS rebind protection.

Ok, thnx beiden, ik zal daar van de week even naar kijken. Als ik een
exception kan invoeren ben ik al een heel eind :)

--
Richard Lucassen
http://contact.xaq.nl/

Richard Lucassen

2019-11-22 20:31:55 UTC

Permalink

On Sun, 17 Nov 2019 00:08:42 +0100

Post by Richard Lucassen

Post by Miquel van Smoorenburg
Je kan bepaalde hosts whitelisten in de fritzbox waardoor ze wel
IP adressen binnen je thuisnetwerk kunnen hebben.
Home network -> Network -> Network settings -> DNS rebind
protection.

Ok, thnx beiden, ik zal daar van de week even naar kijken. Als ik een
exception kan invoeren ben ik al een heel eind :)

Die DNS rebind protection uitzondering werkte :-) Verder liep ik
uiteraard weer tegen "ERROR 1" aan, volgens mij speciaal in het leven
geroepen voor ondergetekende. Maar ja, ik wilde ook iets ongelofelijk
moeilijks zoals het toekennen van een vast adres door de dhcp. Maar ik
heb het maar opgegeven, ik ga niet meer strijden tegen die FB.

--
Richard Lucassen
http://contact.xaq.nl/