Využití cname pro "reverzní" filtraci (v dnsmasq)

Hamparle

  • ****
  • 330
  • junior developer ucho
    • Zobrazit profil
    • E-mail
Využití cname pro "reverzní" filtraci (v dnsmasq)
« kdy: 01. 11. 2020, 00:33:23 »
Když prohlížeč má  síti v pc načíst doménu a.centrum.cz, tak dnsmasq  na mym serveru provede dotaz a dostane  kompletní odpověď CNAME,CNAME,CNAME a konečně IP (v jedné odpovědi, v jednom paketu) ->
Kód: [Vybrat]
query[A] a.centrum.cz from 192.168.1.111
forwarded a.centrum.cz to 1.1.1.1
reply a.centrum.cz is <CNAME>
reply cent.ads.aimatch.com is <CNAME>
reply cent-ads.aimatch.com is <CNAME>
reply cent-ads.aimatch.net is <CNAME>
reply tier1-euw1.ireland.delivery.aimatch.net is 54.247.119.106

Cílem je nastavit dns systém tak, aby zarazil předání odpovědi, jelikož cokoli na aimatch.net,com chci blokovat.
(Nepomůže, že dávno již v konfiguraci dnsmasq address=aimatch.com/127.0.0.1) ... takže je hezké, že dotaz cokoli.aimatch.com/net vrátí velké nic, ale a.domenanejaka.cz vrátí adresu finálního serveru.

Pomůže mi direktiva cname ? --cname=<cname>,[<cname>,]<target>[,<TTL>] Return a CNAME record which indicates that <cname> is really <target>. There are significant limitations on the
              target; it must be a DNS name which is known to dnsmasq from /etc/hosts



Jakýsi workaround by bylo si zjistit si ip adresu domény a tu zablokovat pomocí direktivy bogus-nxdomain=65.123.123.123,, jenže zaprvné je to na amazon, mají ty domény TTL asi 5 minut a za druhé pro jaké domény bych měl zjišťovat adresu? To je řečnická otázka. Například aimatch.net neexistuje, aimatch.com má ip 140.něco a tudíž tudy cesta nevede. Stejně tak vlm-ads.aimatch.com  nebo cnc-ads.aimatch.com dá odpověď 54.247.119.106 63.33.149.253  99.80.127.65....
Mohl bych si tedy dát bogus-nxdomain=99.80.127.65,bogus-nxdomain=63.33.149.253, ale ta IP adresa je prostě problémový článek.



Hraje v tom roli nějak konfigurace na upstream DNS ? Myslím hlavně ten efekt, že vrací v jednom paketu 3xCNAME a konečnou IP.