DNS-Rebind funktioniert nicht wie erwartet

twember

New member
Moin,

ich habe eine 'FritzBox 6660 Cable' und seit ich von individuellen Portnummern für jeden Service auf einen Reverse Proxy umgestiegen bin, schaffe ich es nicht meine Dienste innerhalb meines Netzes unter dem DNS Namen zu erreichen.

Auf einem Server läuft Nextcloud und ein Reverse Proxy der die Subdomain 'cloud' auf Nextcloud zeigen lässt. Der ReverseProxy Dienst ist öffentlich unter Port 80 erreichbar. Von außerhalb meines Netzes funktioniert das auch.
Ich habe in den Einstellungen der FritzBox eine entsprechende Ausnahme für den Rebind Schutz eingetragen( cloud.meinhost.dynpc.net ). Rufe ich diese Adresse von innerhalb meines Netzes auf würde ich erwarten das die Anfrage (Die standartmäßig ja auf Port 80 zeigt) über die Portfreigabe an meinen Reverse Proxy weitergeleitet wird. Stattdessen werde ich auf die Startseite der FritzBox weitergeleitet.

Ich komme nicht drauf was das Problem hier sein könnte oder ob ich etwas falsch verstanden habe,

freundliche Grüße,

Tim
 
Der Rebind-Schutz macht aber genau das, was er tun soll. :D Für Dein Anwendungsszenario bringt er Dir aber überhaupt nichts.
Ziel des Rebind-Schutzes ist es nämlich, dass verhindert wird, dass eine externe DNS-Antwort auf eine interne IP zeigt.

Siehe hierzu auch die Erklärung von AVM (aus der FritzBox):

1671099903714.png

Deine externe DNS-Abfrage cloud.meinhost.dynpc.net zeigt aber korrekt auf die öffentliche IP Deiner FritzBox.

Die Lösung Deiner Anforderung würde ich umsetzen, in dem ich dem internen DNS-Server mitteilen würde, dass er die DNS cloud.meinhost.dynpc.net auf die interne IP auflösen soll. Natürlich brauchst Du dafür überhaupt erstmal einen internen DNS-Server. Allein nur mit der FritzBox und ohne eigenen DNS-Server wüsste ich keine "saubere" Lösung.

Damit hättest Du beides. Im Internet wird (vom externen DNS) die Antwort mit der öffentlichen IP der FritzBox geliefert und im LAN wird (vom internen DNS) die interne IP des Reverse Proxy geliefert.

Oder

Du sprichst das System intern über den DNS internen Namen an. Dieser ist in der Regel <hostname>.fritz.box
Wenn also Dein Reverse Proxy z.B. reversi heißt, dann wäre der korrekte interne DNS reversi.fritz.box

Oder

"Schmutzige" Lösung Du machst auf Deinem PC einen Eintrag in der hosts-Datei für cloud.meinhost.dynpc.net und lässt es auf die interne IP zeigen. Ein Eintrag in der hosts-Datei ist immer höher priorisiert als eine DNS-Abfrage. Das heißt Dein PC würde cloud.meinhost.dynpc.net schon in der hosts-Datei (mit der internen IP) finden und daher niemals beim DNS-Server anfragen.
 
Zuletzt bearbeitet:
Der Rebind-Schutz macht aber genau das, was er tun soll. :D Für Dein Anwendungsszenario bringt er Dir aber überhaupt nichts.
Ziel des Rebind-Schutzes ist es nämlich, dass verhindert wird, dass eine externe DNS-Antwort auf eine interne IP zeigt.

Siehe hierzu auch die Erklärung von AVM (aus der FritzBox):

Anhang anzeigen 2361

Deine externe DNS-Abfrage cloud.meinhost.dynpc.net zeigt aber korrekt auf die öffentliche IP Deiner FritzBox.

Die Lösung Deiner Anforderung würde ich umsetzen, in dem ich dem internen DNS-Server mitteilen würde, dass er die DNS cloud.meinhost.dynpc.net auf die interne IP auflösen soll. Natürlich brauchst Du dafür überhaupt erstmal einen internen DNS-Server. Allein nur mit der FritzBox und ohne eigenen DNS-Server wüsste ich keine "saubere" Lösung.

Damit hättest Du beides. Im Internet wird (vom externen DNS) die Antwort mit der öffentlichen IP der FritzBox geliefert und im LAN wird (vom internen DNS) die interne IP des Reverse Proxy geliefert.

Oder

Du sprichst das System intern über den DNS internen Namen an. Dieser ist in der Regel <hostname>.fritz.box
Wenn also Dein Reverse Proxy z.B. reversi heißt, dann wäre der korrekte interne DNS reversi.fritz.box

Oder

"Schmutzige" Lösung Du machst auf Deinem PC einen Eintrag in der hosts-Datei für cloud.meinhost.dynpc.net und lässt es auf die interne IP zeigen. Ein Eintrag in der hosts-Datei ist immer höher priorisiert als eine DNS-Abfrage. Das heißt Dein PC würde cloud.meinhost.dynpc.net schon in der hosts-Datei (mit der internen IP) finden und daher niemals beim DNS-Server anfragen.

Vielen Dank für die Antwort! Jetzt macht das alles mehr Sinn 😁

Dann werde ich noch einen DNS Service laufen lassen. Da die FritzBox sich ja aktuell um das DHCP kümmert denke ich mal ich muss nur da dann eintragen wo der DNS zu finden ist.

Brauche ich die Ausnhahme im Rebind Schutz denn trotzdem um von außerhalb Zugriff zu haben, oder sollte ich den Eintrag aus Sicherheitsgründen genau deshalb entfernen?
 
Nein, wenn Du das zukünftig von Deinem eigenen, internen DNS-Server erledigen lässt dann brauchst Du keine Rebind-Ausnahme in der FritzBox. Du trägst dann in der Netzwerk-Einstellung noch bei IPv4 und IPv6 Deinen eigenen DNS-Server ein; und dann wird der auch von der FritzBox an die Clients verteilt.
 

Letzte Anleitungen

Statistik des Forums

Themen
4.673
Beiträge
47.702
Mitglieder
4.318
Neuestes Mitglied
brockau
Zurück
Oben