Když prohlížeč má síti v pc načíst doménu a.centrum.cz, tak dnsmasq na mym serveru provede dotaz a dostane kompletní odpověď CNAME,CNAME,CNAME a konečně IP (v jedné odpovědi, v jednom paketu) ->
query[A] a.centrum.cz from 192.168.1.111
forwarded a.centrum.cz to 1.1.1.1
reply a.centrum.cz is <CNAME>
reply cent.ads.aimatch.com is <CNAME>
reply cent-ads.aimatch.com is <CNAME>
reply cent-ads.aimatch.net is <CNAME>
reply tier1-euw1.ireland.delivery.aimatch.net is 54.247.119.106
Cílem je nastavit dns systém tak, aby zarazil předání odpovědi, jelikož cokoli na aimatch.net,com chci blokovat.
(Nepomůže, že dávno již v konfiguraci dnsmasq address=aimatch.com/127.0.0.1) ... takže je hezké, že dotaz cokoli.aimatch.com/net vrátí velké nic, ale a.domenanejaka.cz vrátí adresu finálního serveru.
Pomůže mi direktiva cname ? --cname=<cname>,[<cname>,]<target>[,<TTL>] Return a CNAME record which indicates that <cname> is really <target>. There are significant limitations on the
target; it must be a DNS name which is known to dnsmasq from /etc/hosts
Jakýsi workaround by bylo si zjistit si ip adresu domény a tu zablokovat pomocí direktivy bogus-nxdomain=65.123.123.123,, jenže zaprvné je to na amazon, mají ty domény TTL asi 5 minut a za druhé pro jaké domény bych měl zjišťovat adresu? To je řečnická otázka. Například aimatch.net neexistuje, aimatch.com má ip 140.něco a tudíž tudy cesta nevede. Stejně tak vlm-ads.aimatch.com nebo cnc-ads.aimatch.com dá odpověď 54.247.119.106 63.33.149.253 99.80.127.65....
Mohl bych si tedy dát bogus-nxdomain=99.80.127.65,bogus-nxdomain=63.33.149.253, ale ta IP adresa je prostě problémový článek.
Hraje v tom roli nějak konfigurace na upstream DNS ? Myslím hlavně ten efekt, že vrací v jednom paketu 3xCNAME a konečnou IP.
0 Odpovědí
671 Zhlédnutí