允许一组特定的域名对应的IP进行动态解析和白名单

允许一组特定的域名对应的IP进行动态解析和白名单

我正在尝试为特定机器设置防火墙配置。防火墙配置为阻止除一组允许的 IP 之外的所有流量。

今天我被要求安装teamviewer服务,一切都很好,但是teamviewer使用了一组特定的路由器*.teamviewer.com作为允许通过 nat 连接的中间机器。

鉴于他们不会公开发布其服务器的一组 ip 或 cidr,以及他们根据与不同提供商的协议不时更改服务器的事实,他们没有非常固定的地址。

我想到的是两种方法:

  1. 获取所有 teamviewer 子域的列表,例如*.teamviewer.com并解析相应的 dns 条目,从而将这些地址列入白名单。然而我在 SE 网站上搜索,似乎获取子域列表的唯一模式实际上是暴力破解它们?哦,认真的吗?不DNS查询可以投射到DNS SOA 区域为了获得所有相应的子域?

  2. 另一个选项可以拦截所有包含以下内容的 DNS 查询:*.teamviewer.com,通过 DNS 查询解析 IP 并将 IP 列入白名单,但我不确定这是否真的可以一次性完成。我不确定是否可以拦截 dns 数据包,使其等待,在实际 dns 解析之前解析 ip,以便一旦返回原始查询结果,相应的 ip 地址就已被列入白名单。这并没有考虑到 DNS 服务器玩有趣的循环或负载平衡每次使用不同 IP 地址响应的流量的可能性。

这种方法有更好的解决方案吗?

答案1

使用dig,您可以传输整个区域:

dig AXFR my_domain @my_dns_server

请注意,您的 DNS 必须允许使用以下选项:

allow-transfer { trusted_ip; localhost;};

相关内容