[gelöst] Kein DoH im Webbrowser wenn Firejail isoliertes Network

[debmatrix]

Servus!

Ich nutzt Debian Bookworm mit Firefox in einem Firejail.

Ich habe in Firejail die Netzwerkisolation aktiviert:

Code: Alles auswählen

network yes
restricted-network no

Und danach Firefox auf diese Weise gestartet:

Code: Alles auswählen

/usr/bin/firejail --net=wlp3s0 --netfilter=/etc/firejail/nolocal.net /usr/bin/firefox-esr

Wenn ich nun Firefox starte funktioniert deswegen DNS-over-HTTPS (DoH) nicht mehr.

Und mir leuchtet nicht ein warum die DoH Namensauflösung deswegen nicht funktioniert.

Habe ich etwas falsch gemacht?

EDIT: Wenn ich eine IP-Adresse direkt browse dann funktioniert es wie erwartet.

[cosinus]

Weil du die Netzwerkisolation aktiv hast?
Findest du das nicht etwas übertrieben, den Firefox in eine Sandbox zu sperren? Vor was bitte hast du da Angst?

[debmatrix]

Weil du die Netzwerkisolation aktiv hast?
Findest du das nicht etwas übertrieben, den Firefox in eine Sandbox zu sperren? Vor was bitte hast du da Angst?

Ja, aber Wieso sollte denn die Netzwerkisolation das DoH stören? Das DoH ist ja quasi bloss eine HTTPS-Verbindung ins Internet, genau wie alle anderen Verbindungen. Ich meine wenn ich eine IP-Adresse browse dann funktioniert es wie erwartet.

Oder was ist jetzt mein Denkfehler?

[mat6937]

Wenn ich nun Firefox starte funktioniert deswegen DNS-over-HTTPS (DoH) nicht mehr.

Und mir leuchtet nicht ein warum die DoH Namensauflösung deswegen nicht funktioniert.

Wie sind in der Firejail, die Ausgaben von:

Code: Alles auswählen

kdig -4 a +https ulm.de @49.12.43.208
kdig -4 a +tls ulm.de @49.12.43.208
kdig -4 a +quic ulm.de @49.12.43.208

?

[cosinus]

Oder was ist jetzt mein Denkfehler?

Wenn du mich fragst ist der Denkfehler schon bei firejail. Ich finde es gibt keinen Grund, den Firefox da einzusperren.

[debmatrix]

Wie sind in der Firejail, die Ausgaben von:

Code: Alles auswählen

kdig -4 a +https ulm.de @49.12.43.208
kdig -4 a +tls ulm.de @49.12.43.208
kdig -4 a +quic ulm.de @49.12.43.208

?

Code: Alles auswählen

user@host:~$ /usr/bin/firejail --profile=/etc/firejail/my_firefox_mini.profile --net=wlp3s0 --netfilter=/etc/firejail/nolocal.net
Reading profile /etc/firejail/my_firefox_mini.profile
Reading profile /etc/firejail/firefox-esr.profile
Reading profile /etc/firejail/firefox.profile
Reading profile /etc/firejail/whitelist-usr-share-common.inc
Reading profile /etc/firejail/firefox-common.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-devel.inc
Reading profile /etc/firejail/disable-exec.inc
Reading profile /etc/firejail/disable-interpreters.inc
Reading profile /etc/firejail/disable-proc.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Reading profile /etc/firejail/whitelist-run-common.inc
Reading profile /etc/firejail/whitelist-runuser-common.inc
Reading profile /etc/firejail/whitelist-var-common.inc
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Parent pid 54844, child pid 54847

Interface        MAC                IP               Mask             Status
lo                                  127.0.0.1        255.0.0.0        UP    
eth0-54844       9c:f6:7d:4c:ae:10  192.168.160.29   255.255.255.0    UP    
Default gateway 192.168.160.129

Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Warning: cleaning all supplementary groups
Seccomp list in: !chroot, check list: @default-keep, prelist: unknown,
Warning: cleaning all supplementary groups
Warning: Replacing profile instead of stacking it. It is a legacy behavior that can result in relaxation of the protection. It is here as a temporary measure to unbreak the software that has been broken by switching to the stacking behavior.
Child process initialized in 2278.98 ms
user@host:~$ kdig -4 a +https ulm.de @49.12.43.208
;; TLS session (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP384R1-SHA384)-(AES-256-GCM)
;; HTTP session (HTTP/2-POST)-(49.12.43.208/dns-query)-(status: 200)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 0
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 4096 B; ext-rcode: NOERROR

;; QUESTION SECTION:
;; ulm.de.             		IN	A

;; ANSWER SECTION:
ulm.de.             	57225	IN	A	13.69.68.7

;; Received 51 B
;; Time 2024-05-21 03:04:02 CEST
;; From 49.12.43.208@443(TCP) in 342.1 ms
user@host:~$ kdig -4 a +tls ulm.de @49.12.43.208
;; TLS session (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP384R1-SHA384)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 54359
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 4096 B; ext-rcode: NOERROR

;; QUESTION SECTION:
;; ulm.de.             		IN	A

;; ANSWER SECTION:
ulm.de.             	57219	IN	A	13.69.68.7

;; Received 51 B
;; Time 2024-05-21 03:04:08 CEST
;; From 49.12.43.208@853(TCP) in 309.3 ms
user@host:~$ kdig -4 a +quic ulm.de @49.12.43.208
;; QUIC session (QUICv1)-(TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP384R1-SHA384)-(AES-128-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 0
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 4096 B; ext-rcode: NOERROR

;; QUESTION SECTION:
;; ulm.de.             		IN	A

;; ANSWER SECTION:
ulm.de.             	57214	IN	A	13.69.68.7

;; Received 51 B
;; Time 2024-05-21 03:04:13 CEST
;; From 49.12.43.208@853(UDP) in 280.5 ms

[mat6937]

Code: Alles auswählen

;; From 49.12.43.208@443(TCP) in 342.1 ms
;; From 49.12.43.208@853(TCP) in 309.3 ms
;; From 49.12.43.208@853(UDP) in 280.5 ms

D. h. DoH, DoT und DoQ (... der Zugang zu den Ports/Server) funktionieren in der firejail schon. Im FF gibst Du aber die URL für den DoH-Dienstanbieter an und für diese ist auch eine Namensauflösung ("konventionell" oder aus einer lokalen Datei?) erforderlich (... kannst Du mit tcpdump testen, wenn der dns-cache vom Browser & Co. leer ist). Wie ist in der firejail die Ausgabe von:

Code: Alles auswählen

host -v -t a clean.dnsforge.de

?

EDIT:

Du könntest aus der firejail einen dnsleaktest mit dem Script machen, um zu sehen ob bzw. welche DNS-Server (auf welchen Ports) evtl. aus der firejail erreichbar sind bzw. dort benutzt werden können. Z. B.:

Code: Alles auswählen

:~$ ./dnsleaktest.sh
Your IP:
....

You use 1 DNS server:
168.119.141.43 [Germany, AS24940 Hetzner Online GmbH]

Conclusion:
DNS may be leaking.

Code: Alles auswählen

:~$ dig -x 168.119.141.43 +short
dns3.digitalcourage.de.

Code: Alles auswählen

:~$ kdig -4 a +tls koeln.de +short @dns3.digitalcourage.de
81.173.246.122

[cosinus]

Funktioniert denn normales DNS (also kein DoH) im firejailed firefox?

[debmatrix]

Normales DNS funktioniert einwandfrei. Alles funktioniert perfekt mit Netzwerkisolation und auch ohne, ausser mit eingeschalteter Netzwerkisolation funktioniert DoH nicht (IP-Adresse browsen hingegen schon). Das DoH funktioniert auch ohne Netzwerkisolation, so wie es in beiden Fällen konfiguriert ist und mir leuchtet zumindest nicht ein das ich für die Netzwerkisolation etwas anders konfigurieren müsste. Und es müssen ja grundsätzlich alle Nameserver aus der Firejail erreichbar sein. Jetzt erhalte ich aber einen fopen Fehler.

Dies ist zunächst mal die DoH Konfiguration des Webbrowsers:

Code: Alles auswählen

network.trr.custom_uri  https://185.95.218.42/dns-query	
network.trr.default_provider_uri  https://185.95.218.42	
network.trr.mode  3	
network.trr.uri  https://185.95.218.42/dns-query

EDIT: Ach ja und OCSP-Request habe ich natürlich deaktiviert damit sich das ganze nicht stört.

Code: Alles auswählen

user@host:~$ host -v -t a clean.dnsforge.de
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied
user@host:~$ sudo cat /etc/firejail/firejail.users
user
user@host:~$ dig -x 168.119.141.43 +short
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied
user@host:~$ kdig -4 a +tls koeln.de +short @dns3.digitalcourage.de
81.173.246.122

[mat6937]

Code: Alles auswählen

user@host:~$ host -v -t a clean.dnsforge.de
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied

Versuch mal mit:

Code: Alles auswählen

host -v -t a clean.dnsforge.de 1.1.1.1

... und siehe auch den dnsleaktest.

[debmatrix]

Versuch mal mit:

Code: Alles auswählen

host -v -t a clean.dnsforge.de 1.1.1.1

Code: Alles auswählen

user@host:~$ host -v -t a clean.dnsforge.de 1.1.1.1
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied

[debmatrix]

Danke für die Antworten. Ich löse erstmal das Problem mit fopen.

[mat6937]

Code: Alles auswählen

user@host:~$ host -v -t a clean.dnsforge.de 1.1.1.1
Error: cannot read /etc/firejail/firejail.users
fopen: Permission denied

D. h. der Zugang zum UDP-Port 53 wird nicht ermöglicht, aber der Zugang zum TCP-Port 853 aus der firejail ist/war möglich, denn lt. deiner Ausgabe (siehe oben):

Code: Alles auswählen

user@host:~$ kdig -4 a +tls koeln.de +short @dns3.digitalcourage.de
81.173.246.122

BTW:

Code: Alles auswählen

nc -zv 5.9.164.112 853
host -v -T -t a clean.dnsforge.de 1.1.1.1
nc -zv 1.1.1.1 53

?

[debmatrix]

Ist gelöst. Ich hatte übersehen das ein DNS-Server zwangsläufig angegeben werden muss, damit das ganze funktioniert, selbst wenn DoH festgelegt wird im Webbrowser. Ich hatte ganz einfach den Parameter "--dns=8.8.8.8" vergessen.

Also beispielhaft hätte das für meine Bedürfnisse so ausgesehen: firejail --net=wlp3s0 --dns=8.8.8.8 --netfilter=/etc/firejail/nolocal.net --profile=/etc/firejail/firefox-esr.profile /usr/bin/firefox-esr