昨天我们在大学讲座中讨论了 mDNS。我们并没有得出确切的结论,我对此一直耿耿于怀。讲座中的项目是关于配置 Unix(在本例中为 OSX)系统,以便在互联网上实现隐私增强型冲浪。为此,我们配置了一个通往 Sweded 的 VPN 通道,它将接收我们所有的流量,并配置了一个防火墙来禁止任何其他流量。练习的一个方面是实现系统应保持可用。但是,当简单地阻止所有其他流量时,OSX 无法再进行打印,因为它使用 mDNS/bonjour 进行打印机发现。因此,我们进行了一场漫长的讨论,讨论是否应该允许 mDNS 流量。一群人认为我们应该禁止它,因为它可能会给匿名冲浪的设计带来漏洞,因为:1) 理论上,如果没有其他可用的 DNS 服务器,系统也可以通过 mDNS 查询标准 DNS 查询 2) 由于它是一种多播方案,我们无法将流量限制到本地网络。另一组人基本上认为我们应该启用 mDNS,因为它只会被系统用于本地服务。
好吧,讨论结束了,但我很好奇论坛里的铁杆网络专家对此是否有什么看法:
那么:在这种基于 VPN 的系统上启用 mDNS 是否会影响(理论上)隐私/匿名性?您觉得呢?
感谢您的意见 Norbert
答案1
mDNS 使用仅在本地链路上有效的多播地址。路由器不会转发它。您不能使用 IGMP 要求路由器将下一跳的 mDNS 流量转发给您。因此,如果您信任本地 LAN,则保持 5353/UDP 开放即可。
顺便说一句,虽然在设置 OS X 打印时使用 Bonjour 很容易,但您也可以手动输入打印机的 IP 地址,从而避免使用 Bonjour。