Localhost unter Windows verweist auf die Domain leiche.de

[Joe User]

Komisch, denn meine Fritzbox 7530AX (7.57) manipuliert da gar nix:

PowerShell 7.4.0
PS C:\Users\joeuser> nslookup leiche.de
Server:  UnKnown
Address:  10.2.0.1

Nicht autorisierende Antwort:
Name:    leiche.de
Address:  127.0.0.1

PS C:\Users\joeuser> nslookup serversupportforum.de
Server:  UnKnown
Address:  10.2.0.1

Nicht autorisierende Antwort:
Name:    serversupportforum.de
Address:  87.106.234.221

PS C:\Users\joeuser>

Also wenn da überhaupt jemand manipuliert, dann ist es ein DNS-Resolver (Provideer-DNS) früher in der Nahrungskette...

 

[GwenDragon]

@Joe User 7.57 hab ich auch.

T:\>nslookup leiche.de 192.168.178.1
Server:  fritz.box
Address:  192.168.178.1

*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für leiche.de verfügbar.

test@debora:~$ nslookup leiche.de 192.168.178.1
Server:         192.168.178.1
Address:        192.168.178.1#53

Non-authoritative answer:
*** Can't find leiche.de: No answer

Da liefert wohl die FritzBox als DNS nichts. Seltsame Kiste.

Extern gehts.

T:\>nslookup leiche.de 2003:180:2:7000::53
Server:  m-dnslb-a01.isp6.t-ipnet.de
Address:  2003:180:2:7000::53

Nicht autorisierende Antwort:
Name:    leiche.de
Address:  127.0.0.1

 

[Firewire2002]

Habe die FritzBox 6591, ebenfalls mit 7.57 und die manipuliert reproduzierbar. Lässt sich sogar im WebUI sehr rudimentär konfigurieren:


Ohne die Rebind-Whitelist vom Screenshot:

# FritzBox
> nslookup leiche.de 192.168.178.1
Server:  fritz.box
Address:  192.168.178.1

*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für leiche.de verfügbar.

# Eigene Test-Subdomain 
> nslookup localhost.test.eisscholle.net 192.168.178.1
Server:  fritz.box
Address:  192.168.178.1

*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für localhost.test.eisscholle.net verfügbar.

# Eigene Test-Subdomain 
> nslookup ip1.rfc1918.test.eisscholle.net 192.168.178.1
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
Name:    ip1.rfc1918.test.eisscholle.net
Address:  10.0.0.1

# Eigene Test-Subdomain 
> nslookup ip2.rfc1918.test.eisscholle.net 192.168.178.1
Server:  fritz.box
Address:  192.168.178.1

*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für ip2.rfc1918.test.eisscholle.net verfügbar.

Über die vom Provider funktioniert es immer:

> nslookup localhost.test.eisscholle.net 81.173.194.77
Server:  res6.netcologne.de
Address:  81.173.194.77

Nicht autorisierende Antwort:
Name:    localhost.test.eisscholle.net
Address:  127.0.0.1

> nslookup ip1.rfc1918.test.eisscholle.net 81.173.194.77
Server:  res6.netcologne.de
Address:  81.173.194.77

Nicht autorisierende Antwort:
Name:    ip1.rfc1918.test.eisscholle.net
Address:  10.0.0.1

> nslookup ip2.rfc1918.test.eisscholle.net 81.173.194.77
Server:  res6.netcologne.de
Address:  81.173.194.77

Nicht autorisierende Antwort:
Name:    ip2.rfc1918.test.eisscholle.net
Address:  192.168.178.1

Man sieht, dass die FritzBox nur localhost und ihr eigenes Subnetz ausspart. Andere RFC1918 Netze werden durchgelassen.
Trägt man nun die Subdomains in die Rebind-Whitelist ein, funktioniert es:

> nslookup ip2.rfc1918.test.eisscholle.net 192.168.178.1
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
Name:    ip2.rfc1918.test.eisscholle.net
Address:  192.168.178.1

> nslookup leiche.de 192.168.178.1
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
Name:    leiche.de
Address:  127.0.0.1

Anmerken muss ich allerdings, dass die Rebind-Whitelist nicht direkt effektiv wurde. Ich vermute hier erliegt die FritzBox ihrem eigenen DNS Cache. Ich habe keinen Button zum clearen gefunden und war zu faul zum warten, also habe ich die FritzBox kurzerhand rebootet.

 

[GwenDragon]

@Firewire2002 Ich hätte nicht gedacht, dass der FritzBox-Rebindschutz für 127.0.0.1 wirkt.
Laut Fritzbox-UI:

DNS-Rebind-Schutz​

Ihre FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie Ausnahmen angeben, für die der DNS-Rebind-Schutz nicht gelten soll. Tragen Sie dazu den vollständigen Hostnamen (Domainname inklusive Subdomain) in die Liste ein.

127.0.0.1 ist wohl kaum Heimnetz.
Ich habe absolut keine Ahnung wie dir FritzBox-Devs das meinen.

 

[Joe User]

OK, ich Idiot hatte beim obigen Versuch vergessen die Fritzbox explizit als NS vorzugeben :/

PowerShell 7.4.0
PS C:\Users\joeuser> nslookup leiche.de 10.0.0.1
Server:  UnKnown
Address:  10.0.0.1

*** leiche.de wurde von UnKnown nicht gefunden: Server failed.
PS C:\Users\joeuser> nslookup leiche.de 10.2.0.1
Server:  UnKnown
Address:  10.2.0.1

Nicht autorisierende Antwort:
Name:    leiche.de
Address:  127.0.0.1

PS C:\Users\joeuser> nslookup leiche.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    leiche.de
Address:  127.0.0.1

PS C:\Users\joeuser> nslookup leiche.de 45.90.30.207
Server:  dns2.nextdns.io
Address:  45.90.30.207

Nicht autorisierende Antwort:
Name:    leiche.de
Address:  127.0.0.1

PS C:\Users\joeuser>

Die Fritzbox (10.0.0.1) leitet unter 10.0.0.1 die Anfragen an NextDNS (Provider-DNS) weiter (ohne VPN) und unter 10.2.0.1 wird Proton (mit VPN) gefragt, daher zusätzlich noch 8.8.8.8 (Google DNS) und 45.90.30.207 (NextDNS) direkt.
Also scheinen die Fritzboxen beziehungsweise deren verwendete Linux-Distro dort wirklich zu manipulieren...


Das mit dem Rebind ist interessant...

 

[GwenDragon]

Vielleicht ist das auch ein Bug mit dem Rebind des Hostnamen localhost bzw. IPs 127.* in der fritz!Boxigen Firmware.

Ich werde mal bei AVM anfragen, warum F!B bei dem DNS-Abfrage nicht wie erwartet antwortet.

 

[Firewire2002]

Ich prophezeie, dass ist kein Bug, sondern pure Absicht.
Unter dem Hintergedanken "wir schützen das eigene Netzwerk" ist localhost in gewisser weise nun mal ein Teil davon. Das ist die Art wie viele IT'ler denken.

Blöd ist eigentlich nur, dass man es abseits dieser völlig unflexiblen Whitelist nicht vollständig abschalten kann.

 

[GwenDragon]

@Firewire2002 Ja, das sind dann auch diejenigen, welche die TLD .local für eine "lokale" Domain wie localhost halten. ;-)
Aber wer wirklich glaubt die IP-Range 127.* gehört zum LAN sollte sofort Diplom/Master/Bachelor/Ausbildungsabschluss in den Müll werfen.
Ich denke da nur bei solchen Verdrehungen: ReadF***ingComment 2606!

 

[Firewire2002]

Du denkst zu sehr nach Lehrbuch. Die waren noch nie praxistauglich.
Wer so eine Funktion einführt, um sein lokales Netzwerk zu schützen, meint nicht das "lokale Netzwerk" als CIDR, sondern als Gegenstand. Und da ist 127.0.0.1 selbstverständlich ein Teil davon, dann es bestrifft jedes einzelne Gerät im lokalen Netz.

 

[GwenDragon]

@Firewire2002 Ach herrje, vielleicht hast du Recht. Ich bin vielleicht zu streng.
Ich hab eben über die Jahrzehnte anders gelernt Probleme zu erkennen und zu lösen, da hab ich diese lockere Art, als was nun Dieses oder Jenes bei Nicht-ITlern gedacht ist, nicht so drauf.

 

[GwenDragon]

Ich werde mal bei AVM anfragen, warum F!B bei dem DNS-Abfrage nicht wie erwartet antwortet.

Warum sie das so machen, haben sie natürlich nicht gesagt. Es war also sinnlos das an einen weiteren Level eskalieren zu lassen.
Sie wollen das nicht ändern und schlagen einen lokalen DNS vor.
Nun ja, bildet euch selbst eine Meinung wie sinnvoll deren Antwort war. Muss wohl so beantwortet sein bei Consumer-Massen-Hardware.

 

[MadMakz]

https://avm.de/service/wissensdaten...Auflosung-privater-IP-Adressen-nicht-moglich/

 

[GwenDragon]

@MadMakz das ist mir bekannt.

Mir gibt es um das Problem, dass die Fritzbox fehlerhafte DNS-Antworten lieferte:
*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für leiche.de verfügbar.
das wollte/konnte AVM bei mir nicht klären.

 

[danton]

Die Erklärung liefert doch AVM mit dem Dokument, welches @MadMakz verlinkt hat. Die Fritzbox filtert DNS-Antworten weg, die auf IP-Adressen im lokalen Netz auflösen (im erweiterteten Sinn, wie es @Firewire2002 oben ausgeführt hat). Da leiche.de auf die 127.0.0.1 auflöst, schlägt der Filter zu. Ob es sich um ein sinnvolles Sicherheitsfeature handelt, kann man geteiler Meinung sein (ich denke schon).

 

[GwenDragon]

Wenn Fritz!Box so filtert ist das ok, aber es liefert nslookup eine krude Meldung.
Aber egal. Kann eine:r mit leben.