Назад | Перейти на главную страницу

dnsmasq: блокировать управляемые DNS-ответы, указывающие на сайт адаптивного портала

После настройки маршрутизатора на базе Raspberry Pi (за двумя другими маршрутизаторами) с использованием debian stretch, iptables, dnsmasq и hostapd я узнал, казалось бы, бесконечное количество интересных опций, которые далеко не доступны в проприетарном мире.

Что касается одной очень неприятной проблемы, я пока не нашел решения: некоторые очень плохо спроектированные интернет-маршрутизаторы манипулируют ответами DNS, указывая на любой запрос DNS на своем собственном сайте конфигурации, пока они не подключены.

В моем случае это приводит к - о чудо! - десятки предупреждений о плохих сертификатах на https-соединениях. Когда дело доходит до HTTP-соединений, можно ожидать удовольствия.

Учитывая, что dnsmasq уже настроен должным образом для использования указанных DNS-серверов для внешнего трафика и для использования локально настроенных адресов, а также назначенных dhcp-аренд для внутреннего трафика:

Можно ли настроить dnsmasq таким образом, чтобы управляемые ответы, указывающие на диапазон локальных адресов, даже если они принадлежат нелокальному домену, фильтровались как недопустимые?

Пример: DNS-запрос для anysite.com на 8.8.8.8 перехватывается 192.168.2.1, указывающим на 192.168.2.1; поскольку последний, однако, не адресуется каким-либо доменом верхнего уровня, такие ответы должны быть отброшены до тех пор, пока не будет достигнут фактический 8.8.8.8.

Хотя это может показаться очевидным - можно ли решить проблему такого типа для всех типов клиентов, включив и настроив функции dnssec в dnsmasq?

Заранее спасибо!

В --stop-dns-rebind опция заставит dnsmasq игнорировать любые адресные ответы, которые находятся в пространстве частных IP-адресов.