Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
-
debmatrix
- Beiträge: 88
- Registriert: 12.06.2023 07:48:06
Beitrag
von debmatrix » 20.05.2024 13:50:46
Servus!
Ich nutzt Debian Bookworm mit Firefox in einem Firejail.
Ich habe in Firejail die Netzwerkisolation aktiviert:
Und danach Firefox auf diese Weise gestartet:
Code: Alles auswählen
/usr/bin/firejail --net=wlp3s0 --netfilter=/etc/firejail/nolocal.net /usr/bin/firefox-esr
Wenn ich nun Firefox starte funktioniert deswegen DNS-over-HTTPS (DoH) nicht mehr.
Und mir leuchtet nicht ein warum die DoH Namensauflösung deswegen nicht funktioniert.
Habe ich etwas falsch gemacht?
EDIT: Wenn ich eine IP-Adresse direkt browse dann funktioniert es wie erwartet.
Zuletzt geändert von
debmatrix am 21.05.2024 16:19:32, insgesamt 3-mal geändert.
-
cosinus
- Beiträge: 4188
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 20.05.2024 14:29:27
Weil du die Netzwerkisolation aktiv hast?
Findest du das nicht etwas übertrieben, den Firefox in eine Sandbox zu sperren? Vor was bitte hast du da Angst?
-
debmatrix
- Beiträge: 88
- Registriert: 12.06.2023 07:48:06
Beitrag
von debmatrix » 20.05.2024 16:34:50
cosinus hat geschrieben: 20.05.2024 14:29:27
Weil du die Netzwerkisolation aktiv hast?
Findest du das nicht etwas übertrieben, den Firefox in eine Sandbox zu sperren? Vor was bitte hast du da Angst?
Ja, aber Wieso sollte denn die Netzwerkisolation das DoH stören? Das DoH ist ja quasi bloss eine HTTPS-Verbindung ins Internet, genau wie alle anderen Verbindungen. Ich meine wenn ich eine IP-Adresse browse dann funktioniert es wie erwartet.
Oder was ist jetzt mein Denkfehler?
-
mat6937
- Beiträge: 3366
- Registriert: 09.12.2014 10:44:00
Beitrag
von mat6937 » 20.05.2024 18:59:37
debmatrix hat geschrieben: 20.05.2024 13:50:46
Wenn ich nun Firefox starte funktioniert deswegen DNS-over-HTTPS (DoH) nicht mehr.
Und mir leuchtet nicht ein warum die DoH Namensauflösung deswegen nicht funktioniert.
Wie sind in der Firejail, die Ausgaben von:
Code: Alles auswählen
kdig -4 a +https ulm.de @49.12.43.208
kdig -4 a +tls ulm.de @49.12.43.208
kdig -4 a +quic ulm.de @49.12.43.208
?
Zuletzt geändert von
mat6937 am 20.05.2024 19:36:51, insgesamt 1-mal geändert.
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
-
cosinus
- Beiträge: 4188
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 20.05.2024 19:17:56
debmatrix hat geschrieben: 20.05.2024 16:34:50
Oder was ist jetzt mein Denkfehler?
Wenn du mich fragst ist der Denkfehler schon bei firejail. Ich finde es gibt keinen Grund, den Firefox da einzusperren.
-
debmatrix
- Beiträge: 88
- Registriert: 12.06.2023 07:48:06
Beitrag
von debmatrix » 21.05.2024 03:05:16
mat6937 hat geschrieben: 20.05.2024 18:59:37
Wie sind in der Firejail, die Ausgaben von:
Code: Alles auswählen
kdig -4 a +https ulm.de @49.12.43.208
kdig -4 a +tls ulm.de @49.12.43.208
kdig -4 a +quic ulm.de @49.12.43.208
?
Code: Alles auswählen
user@host:~$ /usr/bin/firejail --profile=/etc/firejail/my_firefox_mini.profile --net=wlp3s0 --netfilter=/etc/firejail/nolocal.net
Reading profile /etc/firejail/my_firefox_mini.profile
Reading profile /etc/firejail/firefox-esr.profile
Reading profile /etc/firejail/firefox.profile
Reading profile /etc/firejail/whitelist-usr-share-common.inc
Reading profile /etc/firejail/firefox-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-proc.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-run-common.inc
Reading profile /etc/firejail/whitelist-runuser-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Parent pid 54844, child pid 54847
Interface MAC IP Mask Status
lo 127.0.0.1 255.0.0.0 UP
eth0-54844 9c:f6:7d:4c:ae:10 192.168.160.29 255.255.255.0 UP
Default gateway 192.168.160.129
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Warning: cleaning all supplementary groups
Warning: Replacing profile instead of stacking it. It is a legacy behavior that can result in relaxation of the protection. It is here as a temporary measure to unbreak the software that has been broken by switching to the stacking behavior.
Child process initialized in 2278.98 ms
user@host:~$ kdig -4 a +https ulm.de @49.12.43.208
;; TLS session (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP384R1-SHA384)-(AES-256-GCM)
;; HTTP session (HTTP/2-POST)-(49.12.43.208/dns-query)-(status: 200)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 0
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 4096 B; ext-rcode: NOERROR
;; QUESTION SECTION:
;; ulm.de. IN A
;; ANSWER SECTION:
ulm.de. 57225 IN A 13.69.68.7
;; Received 51 B
;; Time 2024-05-21 03:04:02 CEST
;; From 49.12.43.208@443(TCP) in 342.1 ms
user@host:~$ kdig -4 a +tls ulm.de @49.12.43.208
;; TLS session (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP384R1-SHA384)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 54359
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 4096 B; ext-rcode: NOERROR
;; QUESTION SECTION:
;; ulm.de. IN A
;; ANSWER SECTION:
ulm.de. 57219 IN A 13.69.68.7
;; Received 51 B
;; Time 2024-05-21 03:04:08 CEST
;; From 49.12.43.208@853(TCP) in 309.3 ms
user@host:~$ kdig -4 a +quic ulm.de @49.12.43.208
;; QUIC session (QUICv1)-(TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP384R1-SHA384)-(AES-128-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 0
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 4096 B; ext-rcode: NOERROR
;; QUESTION SECTION:
;; ulm.de. IN A
;; ANSWER SECTION:
ulm.de. 57214 IN A 13.69.68.7
;; Received 51 B
;; Time 2024-05-21 03:04:13 CEST
;; From 49.12.43.208@853(UDP) in 280.5 ms
-
mat6937
- Beiträge: 3366
- Registriert: 09.12.2014 10:44:00
Beitrag
von mat6937 » 21.05.2024 07:54:11
debmatrix hat geschrieben: 21.05.2024 03:05:16
Code: Alles auswählen
;; From 49.12.43.208@443(TCP) in 342.1 ms
;; From 49.12.43.208@853(TCP) in 309.3 ms
;; From 49.12.43.208@853(UDP) in 280.5 ms
D. h. DoH, DoT und DoQ (... der Zugang zu den Ports/Server) funktionieren in der firejail schon. Im FF gibst Du aber die URL für den DoH-Dienstanbieter an und für diese ist auch eine Namensauflösung ("konventionell" oder aus einer lokalen Datei?) erforderlich (... kannst Du mit tcpdump testen, wenn der dns-cache vom Browser & Co. leer ist). Wie ist in der firejail die Ausgabe von:
?
EDIT:
Du könntest aus der firejail einen dnsleaktest mit dem
Script machen, um zu sehen ob bzw. welche DNS-Server (auf welchen Ports) evtl. aus der firejail erreichbar sind bzw. dort benutzt werden können. Z. B.:
Code: Alles auswählen
:~$ ./dnsleaktest.sh
Your IP:
....
You use 1 DNS server:
168.119.141.43 [Germany, AS24940 Hetzner Online GmbH]
Conclusion:
DNS may be leaking.
Code: Alles auswählen
:~$ dig -x 168.119.141.43 +short
dns3.digitalcourage.de.
Code: Alles auswählen
:~$ kdig -4 a +tls koeln.de +short @dns3.digitalcourage.de
81.173.246.122
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
-
cosinus
- Beiträge: 4188
- Registriert: 08.02.2016 13:44:11
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Bremen
Beitrag
von cosinus » 21.05.2024 10:41:22
Funktioniert denn normales DNS (also kein DoH) im firejailed firefox?
-
debmatrix
- Beiträge: 88
- Registriert: 12.06.2023 07:48:06
Beitrag
von debmatrix » 21.05.2024 12:50:34
Normales DNS funktioniert einwandfrei. Alles funktioniert perfekt mit Netzwerkisolation und auch ohne, ausser mit eingeschalteter Netzwerkisolation funktioniert DoH nicht (IP-Adresse browsen hingegen schon). Das DoH funktioniert auch ohne Netzwerkisolation, so wie es in beiden Fällen konfiguriert ist und mir leuchtet zumindest nicht ein das ich für die Netzwerkisolation etwas anders konfigurieren müsste. Und es müssen ja grundsätzlich alle Nameserver aus der Firejail erreichbar sein. Jetzt erhalte ich aber einen fopen Fehler.
Dies ist zunächst mal die DoH Konfiguration des Webbrowsers:
Code: Alles auswählen
network.trr.custom_uri https://185.95.218.42/dns-query
network.trr.default_provider_uri https://185.95.218.42
network.trr.mode 3
network.trr.uri https://185.95.218.42/dns-query
EDIT: Ach ja und OCSP-Request habe ich natürlich deaktiviert damit sich das ganze nicht stört.
Code: Alles auswählen
user@host:~$ host -v -t a clean.dnsforge.de
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied
user@host:~$ sudo cat /etc/firejail/firejail.users
user
user@host:~$ dig -x 168.119.141.43 +short
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied
user@host:~$ kdig -4 a +tls koeln.de +short @dns3.digitalcourage.de
81.173.246.122
Zuletzt geändert von
debmatrix am 21.05.2024 12:59:42, insgesamt 2-mal geändert.
-
mat6937
- Beiträge: 3366
- Registriert: 09.12.2014 10:44:00
Beitrag
von mat6937 » 21.05.2024 12:54:10
debmatrix hat geschrieben: 21.05.2024 12:50:34
Code: Alles auswählen
user@host:~$ host -v -t a clean.dnsforge.de
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied
Versuch mal mit:
... und siehe auch den dnsleaktest.
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
-
debmatrix
- Beiträge: 88
- Registriert: 12.06.2023 07:48:06
Beitrag
von debmatrix » 21.05.2024 12:58:15
mat6937 hat geschrieben: 21.05.2024 12:54:10
Versuch mal mit:
Code: Alles auswählen
user@host:~$ host -v -t a clean.dnsforge.de 1.1.1.1
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied
Zuletzt geändert von
debmatrix am 21.05.2024 13:54:15, insgesamt 1-mal geändert.
-
debmatrix
- Beiträge: 88
- Registriert: 12.06.2023 07:48:06
Beitrag
von debmatrix » 21.05.2024 13:36:31
Danke für die Antworten. Ich löse erstmal das Problem mit fopen.
-
mat6937
- Beiträge: 3366
- Registriert: 09.12.2014 10:44:00
Beitrag
von mat6937 » 21.05.2024 14:54:48
debmatrix hat geschrieben: 21.05.2024 12:58:15
Code: Alles auswählen
user@host:~$ host -v -t a clean.dnsforge.de 1.1.1.1
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied
D. h. der Zugang zum UDP-Port 53 wird nicht ermöglicht, aber der Zugang zum TCP-Port 853 aus der firejail ist/war möglich, denn lt. deiner Ausgabe (siehe oben):
Code: Alles auswählen
user@host:~$ kdig -4 a +tls koeln.de +short @dns3.digitalcourage.de
81.173.246.122
BTW:
Code: Alles auswählen
nc -zv 5.9.164.112 853
host -v -T -t a clean.dnsforge.de 1.1.1.1
nc -zv 1.1.1.1 53
?
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce
-
debmatrix
- Beiträge: 88
- Registriert: 12.06.2023 07:48:06
Beitrag
von debmatrix » 21.05.2024 15:38:49
Ist gelöst. Ich hatte übersehen das ein DNS-Server zwangsläufig angegeben werden muss, damit das ganze funktioniert, selbst wenn DoH festgelegt wird im Webbrowser. Ich hatte ganz einfach den Parameter "--dns=8.8.8.8" vergessen.
Also beispielhaft hätte das für meine Bedürfnisse so ausgesehen: firejail --net=wlp3s0 --dns=8.8.8.8 --netfilter=/etc/firejail/nolocal.net --profile=/etc/firejail/firefox-esr.profile /usr/bin/firefox-esr