在使用 debian stretch、iptables、dnsmasq 和 hostapd 设置基于 raspberry pi 的路由器(在另外两个路由器后面)之后,我了解到了无数有趣的选项,而这些选项在专有世界中是绝对无法获得的。
然而,对于一个非常棘手的问题,我还没有找到解决方案:某些设计非常糟糕的互联网路由器只要不在线就会操纵 DNS 响应,将任何 DNS 请求指向它们自己的配置站点。
就我而言,这会导致 - 哦,太神奇了!- 数十条与 https 连接上的坏证书相关的警告。当谈到 http 连接时,有趣的事情是可以预料的。
假设 dnsmasq 已正确配置为使用指定的 dns 服务器来处理外部流量,并使用本地配置的地址以及分配的 dhcp 租约来处理内部流量:
是否可以以这样的方式配置 dnsmasq,使得指向本地地址范围的操纵响应即使属于非本地域也被过滤为无效?
示例:anysite.com 到 8.8.8.8 的 DNS 请求被指向 192.168.2.1 的 192.168.2.1 拦截;然而,由于后者未被任何顶级域寻址,因此此类响应将被丢弃,直到可以到达实际的 8.8.8.8。
尽管这看起来很明显 - 通过启用和配置 dnsmasq 的 dnssec 功能是否可以为所有类型的客户端解决此类问题?
提前致谢!
答案1
该--stop-dns-rebind选项将导致 dnsmasq 忽略私有 IP 地址空间中的任何地址响应。