Leicht - Kompakt
hosentaschenblog.orgMeine liebe Frau hat sich neulich eine neue App installiert, die selbstredend teils unbekannte Verbindungen aufbaut. Diese werden sofort protokolliert und notfalls in eine neue Filterliste integriert. Ab und an kommt es dabei schon mal zu unerwünschten Effekten. In diesem Fall war es auch so, da steckte aber noch mehr dahinter.
Nach dem ersten Blick in die Logfiles fand ich verschiedene Verbindungen die nacheinander in die Whitelist wanderten um zu sehen ob die Inhalte mit der Freigabe geladen würden, was sie dann auch taten. Alles schick, App lädt erwünschte Inhalte, Ziel erreicht.
Das funktionierte genau einen Tag, danach gab es bereits wieder Probleme. Unser Filter leitet alle unerwünschten Verbindungen nach 0.0.0.0 um, im Protokoll unseres Filters fanden sich aber Einträge von 127.0.0.1. ... ... Wo kommen die denn her?
Nach einigem überlegen und wundern kam mir dann die Lösung in den Sinn. Ich habe neulich einen neuen DNS-Server(1) in unsere /etc/resolv.conf hinzugefügt, der verfügt über eine eigene Filterliste. Der leitet garantiert alle unerwünschten Anfragen zu 127.0.0.1 um!
So war es natürlich auch. So "kleine" Details sollte man bei der Einrichtung unbedingt beachten.
Anscheinend war der ursprüngliche nameserver der /etc/resolv.conf zunächst schneller, weswegen anfangs die Verbindungen noch alle durchgingen. Heute gewann dann wohl der neue das Rennen, und jagte unsere freigegebenen Verbindungen gnadenlos zum Teufel.
Den Eintrag habe ich selbstredend wieder rausgenommen und durch einen weiteren, ohne eigene Filterfunktion, ersetzt. Und bei der ganzen Geschichte kann ich noch von Glück reden. Würde ich unsere Verbindungen nicht zu 0.0.0.0 umleiten wäre die Fehlersuche nochmal ekliger geworden.
Hoffen wir mal dass damit jetzt Ruhe ist im Karton!
Quellen: